Linux-Magazin Problematische Mitbringsel (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
09/12<br />
Anzeige:<br />
Die Welt der STRATO Server<br />
Ohne Einrichtungsgebühr! » strato-pro.de siehe Beilage<br />
STR0812_DE_TKS_Server1_120x17.indd 1<br />
16.07.2012 13:21:42 Uhr<br />
Content managen<br />
für Pragmatiker<br />
Im Test: Fünf CMS-Suiten, die auf schnelle<br />
Anwender-Erfolge programmiert sind S. 46<br />
Kern-Technik<br />
Wie Boot Tracer und Bootchart<br />
helfen, den Systemstart<br />
zu beschleuigen S. 76<br />
3-D-Welten<br />
Mit HTML 5 und der Bibliothek<br />
Three.js vorstoßen in<br />
eine neue Dimension S. 88<br />
<strong>Problematische</strong><br />
<strong>Mitbringsel</strong><br />
Bring your own Device<br />
fordert IT-Abteilungen heraus<br />
■ Warum bei BYOD die Gefahren nah und<br />
perfekte Lösungen fern sind S. 24<br />
■ Einlasskontrollen für Fremdgeräte S. 28<br />
■ Tablet & Co. als Thin Client S. 32<br />
■ Mobile Device Management S. 36<br />
■ Günstige Schutztools für Android S. 40<br />
■ Zentyal macht Ubuntu zum<br />
Small Business Server S. 56<br />
■ Java-Know-how: Threads S. 82<br />
Stadt, Land, Fluss: Charly Kühnast lokalisiert Website-Besucher anhand ihrer IP-Adresse S. 55<br />
www.linux-magazin.de<br />
Deutschland Österreich Schweiz Benelux Spanien Italien<br />
4 5,95 4 6,70 sfr 11,90 4 7,00 4 7,95 4 7,95<br />
4 192587 305954 09
Bastian Foerg<br />
STRATO Hosting-Kunde<br />
www.gastronomieberatung-rheinhessen.de<br />
BasicWeb XL<br />
nur<br />
€/Mon.*<br />
für 6 Monate<br />
danach 4,99 €/Mon.<br />
Preisaktion bis 31.08.2012<br />
STRATO bietet Ihnen alles was Sie brauchen,<br />
um Ihre Idee erfolgreich ins Internet zu bringen.<br />
3 Domains, 1 GB Speicher und 2 Datenbanken<br />
1-Klick-Installation vom Blog-System WordPress<br />
2 GB Speicher pro E-Mail Postfach inklusive<br />
Zahlreiche Komfortfeatures, z. B. Foto- und Videoalbum<br />
Hosting-Pakete | Online-Speicher | Webshops | V-Server<br />
* Einmalige Einrichtungsgebühr 9,90 €. Mindestvertragslaufzeit 12 Monate.<br />
Preise inkl. MwSt.<br />
Servicetelefon: 030 - 300 146 0
Google hat’s verbockt<br />
Login 09/2012<br />
Editorial<br />
Android, ein <strong>Linux</strong>, erobert Unternehmensdesktops. Google jubelt natürlich<br />
und freut sich über den Siegeszug. Anwender wollen ihre Smartphones und<br />
Tablets nicht mehr missen und sie sogar im Unternehmen verwenden. Chris<br />
di Bona, Googles Open-Source-Chef, schwärmt im Interview: „Android ist<br />
der wahr gewordene Traum vom <strong>Linux</strong>-Desktop!“ Ein Traum? Immer mehr<br />
Malware, Trojaner und ungepatchte Exploits tauchen auf. Ein Alptraum,<br />
Herr di Bona!<br />
Wie konnte das passieren? Die Sache verhält sich ganz einfach: Google<br />
hat mit Android ein kommerziell überaus erfolgreiches System platziert.<br />
Software- und Hardwarehersteller springen zuhauf auf den Zug mit dem<br />
kleinen grünen Männchen auf, chinesische, taiwanische und koreanische<br />
Markus Feilner,<br />
Produzenten werfen beinahe im Monatsrhythmus neue und immer smartere<br />
Geräte auf den Markt. Die werden gleichzeitig immer leistungsfähiger,<br />
stellvertretender Chefredakteur<br />
benutzerfreundlicher und nicht zuletzt – der zahlende Verbraucher freut<br />
sich – billiger und billiger. Hersteller, die dabei nicht mitmachen, verlieren, siehe Nokia und RIM. Quick ist<br />
das Maß der Dinge auf dem Markt für mobile Geräte – und dirty auch.<br />
Denn das OS hat Schwächen, die <strong>Linux</strong>-Kenner eigentlich nicht für möglich gehalten hätten. Der Stack<br />
aus Android-Kernel, Dalvik-Engine und den Apps oben drauf verzichtet auf Sicherheitskonzepte, die sich<br />
im Unix-Umfeld seit Jahrzehnten bewährt haben. „Alle mobilen Plattformen machen sicherheitstechnisch<br />
unglaublich große Probleme, auch Android. Wir stehen heute wieder da, wo wir bei Windows vor<br />
20 Jahren waren.“ Das erklärt ein enttäuschter Admin eines deutschen Dax-Konzerns im vertraulichen<br />
Gespräch – seine Firma hat auch Produkte im Angebot, die Smartphones sicher anzubinden versprechen.<br />
Resignierend fügt er hinzu: „Unternehmen, die „Bring Your Own Device“ erlauben, können auch gleich die<br />
Firewall abschalten!“<br />
Die Liste der Versäumnisse von Google lässt sich beliebig verlängern: Updates gibt es bei vielen Herstellern<br />
gar nicht oder nur sehr verzögert. Exploits lassen monatelang Scheunentore offen. Angesichts der Strategie<br />
vieler Produzenten bezeichnen besorgte Anwender und Admins Android nicht selten als Wegwerf- oder<br />
One-time-<strong>Linux</strong>. Neulich an der Hotline: „Ihr Gerät ist defekt? Kein Problem, es gibt schon den Nachfolger<br />
mit Android 4. Der ist sogar 50 Euro billiger – und die Sicherheitslöcher sind da auch gefixt.“<br />
Eine sichere Kapselung des Userspace enthält Android ebenso wenig wie die Möglichkeit, sichere Einstellungen<br />
zu erzwingen. Was bei Experten Kopfschütteln hervorruft, lässt bei Softwareherstellern und<br />
Consultants die Kasse klingeln. Sie versprechen mit Sandboxing und Virtualisierung auf dem Endgerät für<br />
Sicherheit zu sorgen. Doch so lange der Anwender sein eigenes Gerät mitbringt, auf dem er beliebige Apps<br />
installieren will und darf, ist das Tablet oder Smartphone eine potenziell unsichere Plattform.<br />
Aber die „Consumerization der Business-IT“, die Open-Xchange-Chef Rafael Laguna einst als Trend ausrief,<br />
ist de facto nicht mehr zu stoppen. Anwender wollen ihre kleinen Statussymbole auch im Büroalltag verwenden,<br />
die wenigsten Unternehmen werden das verbieten können – und Admins wie Sicherheitstechniker<br />
müssen bis auf Weiteres zähneknirschend die unsicheren Android-Geräte in ihren Netzwerken zulassen.<br />
Letzten Endes gilt es, das Unvermeidbare zu akzeptieren und die Risiken möglichst klein zu halten – mit<br />
Software, Infrastruktur, aber auch durch Information der Anwender. Willkommen in der smarten Android-<br />
Business-IT.<br />
www.linux-magazin.de<br />
3
Inhalt<br />
www.linux-magazin.de 09/2012 09/2012<br />
4<br />
Mit dem Siegeszug privater Tablets und Smartphones fällt der ei ser ne Vorhang zwischen<br />
Firmen- und Privat-Computern. Das <strong>Linux</strong>-<strong>Magazin</strong> stellt sich an die Seite der vom „Bring<br />
your own Device“-Virus gebeutelten IT-Abteilungen und stellt diesmal Strate gien und Tools<br />
vor, die das Unvermeidliche erträglich machen.<br />
Aktuell<br />
Titelthema: Bring your own Device<br />
6 N ew s<br />
n Tablet und Medienkugel von Google<br />
n Web OS als Community Edition<br />
n Freeze für Wheezy<br />
n Capgemini: Zarafa Groupware online<br />
n Kolab 3.0 mit Serverside Akonadi<br />
24 BYOD-Grundlagen<br />
Titel<br />
Probleme bei „Bring your own Device“,<br />
und was IT-Abteilungen dagegensetzen.<br />
32 Mobilgeräte als Thin Clients<br />
Warum das Server-based Computing mit<br />
mobilen Geräten die bessere Wahl ist.<br />
Voll im Trend: Die Storage-Server von Pure<br />
Storage setzen komplett auf SSD-Speicher.<br />
12 Zahlen & Trends<br />
n Wikimedia verleiht Zedler-Preise<br />
n Verkauf gebrauchter Software ist legal<br />
n Jolla: Ex-Nokias entwickeln mobiles OS<br />
n Mozilla sondert Thunderbird aus<br />
n LPI: Startschuss für <strong>Linux</strong> Essentials<br />
n <strong>Linux</strong>tag Dornbirn: Call for Papers<br />
Das Smartphone dient als Einfallstor für Viren,<br />
Malware und Angreifer. Als UMTS-Hotspot hebelt<br />
es alle Sicherheitsvorkehrungen aus.<br />
28 Zugang absichern<br />
Klingt genial: Endgeräten, die bestimmten<br />
Anfor de rungen nicht genügen, den<br />
Zutritt zur Firmen-IT zu sperren.<br />
Teamviewer bringt Desktops auf Android-Geräte.<br />
Aber die Touch-Bedienung hakt noch.<br />
36 Mobile Device Management<br />
Das Übel an der Wurzel packen: Zentrale<br />
Management-Suiten für Mobilgeräte.<br />
40 Schutz für Android<br />
Mobile-Security-Produkte für Androiden.<br />
18 Zacks Kernel-News<br />
n Wie der Maintainer der Zukunft arbeitet<br />
n Lizenz-Versäumnisse im Kernel<br />
20 Akademy 2012<br />
KDE wird 15 Jahre alt, das Entwicklertreffen<br />
Akademy zehn. Im Juni traf sich<br />
die Community im estnischen Tallinn.<br />
Userkritik, mobile Hardware und Patente: Das<br />
KDE-Projekt hat mit Hindernissen zu kämpfen.<br />
Einlass nach Maßgabe: Spezielle Enterprise-<br />
Server testen am Eingang auf Konformität.<br />
DELUG-DVD<br />
Virenschutz für <strong>Linux</strong>-Geräte? Android macht's<br />
nötig, zahlreiche Hersteller möglich.<br />
Details zu DVD-<br />
TOOL<br />
Inhalten auf S. 43<br />
Netzwerkangriffe Super Grub 2<br />
TOOL<br />
TOOL<br />
... von innen — komplettes E-Book<br />
zu einer unterschätzen Gefahr<br />
I-doit Pro<br />
Exklusiv: 1-Jahres-Lizenz der<br />
Inventarisierungssoftware aus<br />
Deutschland<br />
TOOL<br />
TOOL<br />
Bootet direkt von DVD: Partitionsund<br />
Bootloader-Reparatur-<strong>Linux</strong><br />
mit und für den neuen Grub 2<br />
Konferenzvideos<br />
Profis sprechen über Nagios, Cacti,<br />
Ntop, ITSM und Nedi-Netzanalyse
09/2012 09/2012<br />
Inhalt<br />
46 Früh erfolgreich<br />
Ohne Vorwissen und Zeit eine schicke<br />
Website bauen? Ein Contentmanagement-System<br />
muss her – aber welches?<br />
Fünf CMS im <strong>Linux</strong>-<strong>Magazin</strong>-Test.<br />
56 Ubuntu bedienbar<br />
Nicht nur wegen der fünf Jahre Support<br />
bietet sich Ubuntu Server für den Einsatz<br />
im Unternehmen an: Zentyal macht Canonicals<br />
<strong>Linux</strong> zum Small Business Server.<br />
82 Eingefädelt<br />
Seit der ersten Stunde sind Threads<br />
ein fester Bestandteil von Java. Wer<br />
sie richtig einfädelt, nutzt CPU-Kerne<br />
besser als in anderen Sprachen.<br />
www.linux-magazin.de<br />
5<br />
Software<br />
Sysadmin<br />
Know-how<br />
43<br />
Einführung<br />
Auf der DELUG-DVD: Grub 2, Zentyal, I-doit<br />
und ein E-Book über Angriffe von innen.<br />
55 Einführung<br />
Aus dem Alltag eines Sysadmin: Charly<br />
bastelt sich eine Geo-IP-Lookup-Weiche.<br />
76 Kern-Technik 64<br />
Titel<br />
Der Boot Tracer und Bootchart helfen<br />
den Systemstart zu optimieren.<br />
44 Tooltipps<br />
Pass 12, Daytime, Lmvirt, Barefootd,<br />
Iptstate und Monitorix.<br />
56 Zentyal<br />
Titel<br />
Ein All-in-one-Server mit Ubuntu, der<br />
auch noch leicht zu administrieren ist.<br />
Monitorix protokolliert die Systemauslastung.<br />
46 Bitparade<br />
Titel<br />
Contentmanagement-Systeme im<br />
Wettstreit: Wordpress, Concrete 5,<br />
Redaxo, Pivot X und CMS made simple.<br />
Zentyal ist Firewall, Router, Active-Directory-<br />
Ersatz, Mail-, VoIP- und Groupware-Server.<br />
64 Inventarisierung mit I-doit<br />
Ein Genie beherrscht das Chaos – allen<br />
anderen hilft Software wie I-doit.<br />
Bootchart listet detailliert auf, welche Tasks<br />
zu welchen Zeitpunkten aktiv sind.<br />
Programmieren<br />
82 Threads in Java<br />
Titel<br />
Fäden, Locking und Synchronisierung.<br />
88 Three.js<br />
Titel<br />
3-D-Szenen mit Javascript erzeugen.<br />
I-doit bringt Ordnung ins Inventar: Links die<br />
Objektgruppen, rechts ein leeres Listenfeld.<br />
Das CMS Redaxo bringt keinen Wysiwyg-Editor,<br />
sondern setzt vorgefertigte Textblöcke.<br />
Service<br />
3 Editorial<br />
100 IT-Profimarkt<br />
101 Stellenanzeigen<br />
104 Veranstaltungen<br />
104 Inserenten<br />
105 Impressum<br />
106 <strong>Vorschau</strong><br />
Forum<br />
68 Leserbriefe<br />
Auf den Punkt gebracht.<br />
70 Recht<br />
Software-Downloads eignen sich zum<br />
Weiterverkauf, meint der Europäische<br />
Gerichtshof.<br />
73 Bücher<br />
C++11 sowie KVM Best<br />
Practice.<br />
Guter Ausblick: HTML 5 und Web GL bringen<br />
3-D-Unterstützung in den Browser.<br />
96 Perl-Snapshot<br />
Permeister Schili hebt ab, wenn er mit<br />
Heroku Webapplikationen startet.<br />
Das Kommandozeilen-Tool »heroku« des<br />
gleichnamigen „Toolbelt“ loggt den User ein.
Aktuell<br />
www.linux-magazin.de News 09/2012<br />
6<br />
News<br />
Google rollt Tablet und Medienkugel aus<br />
Auf seiner Hauskonferenz I/O<br />
hat Google seine wachsende<br />
Nexus-Reihe um das Tablet<br />
Nexus 7 ergänzt. Neu in die<br />
Google-Palette zieht auch<br />
der kugelförmiger Streamingserver<br />
Nexus Q ein, der mit<br />
Android 4.0 läuft.<br />
Neben einem mit 1280 mal<br />
800 Pixeln auflösenden HD-<br />
Display zu 7 Zoll erhalten<br />
Käufer des Google-Tablets einen<br />
Tegra-3-Quadcore-Prozessor<br />
mit 1,3 GHz Taktfrequenz.<br />
An Bord sind 1 GByte RAM,<br />
8 GByte interner Speicher,<br />
Frontkamera, WLAN, Bluetooth<br />
sowie NFC. Es soll bis<br />
zu neun Stunden HD-Video<br />
wiedergeben. Das Gerät ist<br />
etwa 1,5 Zentimeter dünn, 20<br />
Zentimeter hoch und 12 Zentimeter<br />
breit bei 340 Gramm<br />
Gewicht. Als Betriebssystem<br />
läuft die neueste Android-<br />
Version 4.1 Jelly Bean.<br />
Nexus 7 (Höhe: 20 Zentimeter) heißt das neue Tablet von Google. Der Streamingserver<br />
Nexus Q (11,6 Zentimeter Durchmesser) startet als Apple-TV-Konkurrent.<br />
Der kugelförmige Nexus Q<br />
misst laut Spezifikation 11,6<br />
Zentimeter im Durchmesser,<br />
wiegt 923 Gramm und verfügt<br />
über 1 GByte RAM sowie 16<br />
GByte internen Flashspeicher.<br />
Die Prozessorplattform ist eine<br />
OMAP 4460 mit doppeltem<br />
ARM A9, für die Grafik<br />
sorgt der Chipsatz SGX540.<br />
Mediadaten streamt das Gerät<br />
über einen Micro-HDMI-<br />
Ausgang, Audio über einen<br />
optischen S/PDIF-Anschluss<br />
sowie einen Bananenstecker.<br />
Das Netzwerk ist via Megabit-<br />
Ethernet erreichbar, an Funkschnittstellen<br />
sind ebenfalls<br />
WLAN, Bluetooth und NFC<br />
vorhanden.<br />
Das von Asus gefertigte Tablet<br />
kommt vorerst nur in den<br />
USA, Kanada, Australien und<br />
England auf den Markt. Ab<br />
Juli soll es in der 8-GByte-Version<br />
für 200 US-Dollar und in<br />
der 16-GByte-Version für 250<br />
Dollar zu haben sein. Für den<br />
restlichen europäischen Markt<br />
gilt September 2012 als unbestätigter<br />
Starttermin. Den<br />
Preis hingegen nennt Google<br />
bereits: Er soll sich in der<br />
16-GByte-Version um 250 Euro<br />
bewegen.<br />
Wie das Tablet, ist auch die<br />
Streaming-Kugel direkt über<br />
die Hardwaresektion von<br />
Google Play [https://play.google.<br />
com/store/devices] zu beziehen.<br />
Derzeit lässt sie sich nicht<br />
in allen Ländern aufrufen.<br />
Markteinführungspreis des<br />
stylischen Geräts ist 300 US-<br />
Dollar, ein Euro-Preis ist noch<br />
nicht bekannt. <br />
n<br />
Grub in 2.00 erschienen<br />
Web Services Security berichtigt Fehler<br />
Mit einem neuen Theme für<br />
das Menü, Treiberupdates<br />
und vielen Verbesserungen<br />
hat sich der Grand Unified<br />
Bootloader aus der Betaphase<br />
verabschiedet und ist in Version<br />
2.00 verfügbar.<br />
Entwickler Vladimir Serbinenko<br />
schreibt in der Ankündigung,<br />
dass es nicht nur das<br />
offizielle Theme für das Gfx-<br />
Menü namens Starfield Premiere<br />
zu feiern gäbe, sondern<br />
auch Ports für Intanium- und<br />
SGI-Mips-Systeme. Letzterer<br />
allerdings sei als experimentell<br />
gekennzeichnet, weil es<br />
Firmwareprobleme gäbe. Zu<br />
den Neuerungen zählen diverse<br />
Treiberupdates und<br />
Neuaufnahmen, etwa für<br />
EHCI. In Serbinenkos Mail<br />
sind die weiteren Neuerungen<br />
aufgelistet [http://lists.gnu.org/<br />
archive/html/grub‐devel/2012‐06/<br />
msg00093.html]. <br />
n<br />
Die Standardisierungsorganisation<br />
Oasis hat die Web<br />
Services Security in Version<br />
1.1.1 samt Dokumentation<br />
und zugehörigen Dateien online<br />
gestellt. Die neue Version<br />
des Websecurity-Standards<br />
korrigiert lediglich Fehler der<br />
vorigen. Das Dokument hat<br />
zudem diverse redaktionelle<br />
Änderungen erfahren. Neue<br />
Features sind hingegen nicht<br />
aufgenommen worden.<br />
Oasis bezeichnet ihre Web<br />
Services Security als einen der<br />
am meisten in Verbindung mit<br />
dem Netzwerkprotokoll Soap<br />
eingesetzten Standards, weshalb<br />
ständige Pflege unabdingbar<br />
sei.<br />
Die entsprechenden Dateien<br />
für Web Services Security finden<br />
sich bei [https://www.oasis<br />
‐open.org/news/announcements/<br />
oasis‐web‐services‐security‐version<br />
‐1‐1‐1‐oasis‐standard‐published]. n
Trend zu Storage-Servern mit SSD<br />
Nexenta Systems kündigte<br />
während des Open Storage<br />
Summit 2012 gemeinsam mit<br />
der Firma Erastor eine 2-HE-<br />
Appliance mit 24 Solid State<br />
Drives an. Sie ist erhältlich<br />
ab 4,5 TByte und skalierbar<br />
bis 17,6 TByte. Tests hätten<br />
ergeben, dass die Erastor 25S<br />
mehr als 250 000 Schreiboperationen<br />
pro Sekunde<br />
absolviert bei 2,8 GByte pro<br />
Sekunde Durchsatz und nur 2<br />
Millisekunden Latenz.<br />
Auf dem Gerät läuft Nexenta<br />
Stor, eine Software, die mit<br />
NFS, CIFS, Webdav und FTP<br />
sowohl als NAS fungiert als<br />
auch mit I-SCSI und FC als<br />
SAN. Lokal arbeitet mit ZFS<br />
ein 128-Bit-Filesystem. Es<br />
bietet Data Deduplication,<br />
native Kompression, Snapshot<br />
Search, heterogene Blockund<br />
File-Replikation. Von der<br />
Open-Storage-Software Nexenta<br />
Stor gibt es unter [http://<br />
www.nexentastor.org] eine kostenlose<br />
Community-Version.<br />
Das dabei verwendete Betriebssystem<br />
Illumos ist ein<br />
Community-Fork des Ex-Sun-<br />
Unix Open Solaris.<br />
Das kalifornische Startup-<br />
Unternehmen Pure Storage<br />
brachte ein ähnliches Gerät<br />
mit dem Namen Flash Array<br />
heraus. Es lässt sich mit 5,5<br />
bis 22 TByte SSD-Speicher<br />
ausrüsten und führt bei einer<br />
Bandbreite von 2,8 GByte pro<br />
Sekunde rund 100 000 Schreiboperationen<br />
pro Sekunde aus.<br />
Die durchschnittliche Latenz<br />
soll unter einer Millisekunde<br />
liegen. Infiniband-geclusterte<br />
Controller erlauben Active-<br />
Active-HA-Eigenschaften.<br />
Anders als das Nexenta/Erastor-Gerät<br />
besteht das Flash<br />
Array aus mehreren kombinierbaren<br />
19-Zoll-Komponenten,<br />
mindestens aus einem<br />
Controller (mit Fibre Channel,<br />
SAS Storage Interconnect,<br />
QDR Infiniband) und Storage<br />
Shelf. Die Firmware „Purity<br />
Operating Environment“, an<br />
der auch Logfs-Erfinder Jörn<br />
Engel mitgearbeitet hat, ist <strong>Linux</strong>-basiert<br />
und besitzt ähnliche<br />
Features wie Nexenta Stor,<br />
so auch Data Deduplication.<br />
Dazu kommen eigenes Performance-Management<br />
und eine<br />
Flash-Life-Extension. n<br />
Die neuen, dedizierten Storage-Server von Pure Storage (Abbildung) und<br />
Nexenta/Erastor setzen komplett auf SSD-Speicher.<br />
© PureStorgae<br />
RHEL 6.3 bringt<br />
Updates<br />
Die neue Minor-Release 6.3<br />
der Enterprise-Ausgabe von<br />
Red Hats <strong>Linux</strong> (RHEL) nimmt<br />
zusätzlich zu Open JDK 6<br />
auch Open JDK 7 an Bord. Bei<br />
den Virtualisierungsfähigkeiten<br />
haben die Entwickler die<br />
Tools Virt-P2V für verbesserte<br />
Migration von physikalischen<br />
Rechnern in virtuelle Umgebungen<br />
integriert. Das soll die<br />
Aufnahme von mit RHEL oder<br />
Windows bestückten Rechnern<br />
als virtuellen Gästen vereinfachen.<br />
Das Virtualisierungssystem<br />
ist nun kompatibel<br />
mit dem Payment Card<br />
Industry Data Security Standard<br />
(PCI-DSS).<br />
In Sachen Sicherheit setzt<br />
RHEL 6.3 auf Two Factor<br />
Authentication (TFA), was<br />
gegenüber dem einfachen<br />
Passwortschutz ein deutliches<br />
Plus bringen soll. Weitere<br />
Neuerungen gibt es bei<br />
Filesystemen und beim um<br />
X.509-Zertifikate erweiterten<br />
Subskriptionsmanagement.n<br />
News 09/2012<br />
Aktuell<br />
www.linux-magazin.de<br />
7<br />
Web OS als Community Edition<br />
Twitter macht sich transparent<br />
Das von Palm via Aufkauf zu<br />
Hewlett-Packard gewanderte<br />
und dann für den Eigengebrauch<br />
aufgegebene mobile<br />
Betriebssystem Web OS macht<br />
einen weiteren Schritt in Richtung<br />
Open Source. Die neue<br />
Community Edition, erklärt<br />
ein Blogbeitrag der Web-OS-<br />
Entwickler, enthalte die Komponenten,<br />
die für den Touch-<br />
Betrieb nötig sind.<br />
Gepflegt wird der Code von<br />
„Web OS Internals“, einem<br />
kleinen Entwicklerteam. HP<br />
beteiligt sich weiterhin finanziell<br />
am Projekt. Die für<br />
die Community Edition zuständigen<br />
Entwickler aus der<br />
Web-OS-Internals-Truppe sind<br />
sechs an der Zahl. Sie stehen<br />
unter der Leitung von Tom<br />
King (alias Ka6sox) und nennen<br />
sich zur besseren Abgrenzung<br />
„Web OS Ports“.<br />
Für die Community Edition<br />
gibt es eine eigene Website<br />
mit Repositories und Informationen,<br />
die als Wiki aufgezogen<br />
ist [http://webos‐ports.org].<br />
Diese Edition steht unter der<br />
Apache-Lizenz. Bis zum<br />
Herbst soll es eine Web-OS-<br />
1.0-Version geben. n<br />
Inspiriert von den Kollegen<br />
bei Google hat sich auch der<br />
Dienst Twitter entschieden, einen<br />
so genannten Transparency<br />
Report zu veröffentlichen.<br />
Er offenbart auch Anfragen<br />
von Behörden zur Löschung<br />
von Beiträgen.<br />
Twitter hat sich symbolisch<br />
den Independence Day, also<br />
den 4. Juli, als Veröffentlichungsdatum<br />
ausgewählt,<br />
heißt es in dem korrespondierenden<br />
Blogbeitrag. Der kurz<br />
zuvor veröffentlichte Report<br />
enthält Einblicke in Regierungsanfragen<br />
nach Nutzerinformationen,<br />
Aufforderungen<br />
zum Zurückhalten bestimmten<br />
Contents und Ansprüche<br />
von Urhebern gegen Veröffentlichungen.<br />
Im Transparency<br />
Report [https://support.twitter.<br />
com/articles/20170002] steht<br />
auch die Reaktion von Twitter<br />
auf die Anfragen, also ob das<br />
Unternehmen Folge geleistet<br />
hat oder nicht.<br />
Die veröffentlichten Daten reichen<br />
zurück bis zum Jahresanfang<br />
2012. Aus Deutschland<br />
liegen die Anfragen nach Nutzerinformationen<br />
demnach<br />
bei unter zehn.<br />
n
Aktuell<br />
www.linux-magazin.de News 09/2012<br />
8<br />
Silverstripe CMS wird 3.0<br />
Das Contentmanagement-System<br />
Silverstripe ist mitsamt<br />
zugehörigem Anwendungs-<br />
Framework in Version 3 freigegeben.<br />
Den Nutzer erwartet<br />
eine neu gestaltete Oberfläche,<br />
die sich unter anderem<br />
durch Erleichterungen beim<br />
Einbau von Fotos und Videos<br />
via Drag & Drop auszeichnen<br />
soll. Neu ist auch eine Listenansicht.<br />
Das Silverstripe-Team<br />
der gleichnamigen Firma hat<br />
zudem CMS und Framework<br />
getrennt, um die Entwicklung<br />
von Anwendungen zu<br />
ermöglichen, die kein CMS<br />
brauchen.<br />
Changelog, Demoseite und<br />
Download zu Silverstripe<br />
3.0 gibt es auf der Webseite<br />
[http://www.silverstripe.org].<br />
Die Firma Silverstripe mit<br />
Hauptsitz in Neuseeland bietet<br />
kostenpflichtige Services<br />
rund um das BSD-lizenzierte<br />
Open-Source-CMS, auch Webanalysen<br />
sind im Angebot. n<br />
Freeze für Wheezy<br />
Planmäßig hat das Debian-<br />
Projekt den Freeze seiner Distribution<br />
für die kommende<br />
Version 7.0 mit dem Codenamen<br />
Wheezy eingeleitet. Damit<br />
können die Betreuer von<br />
Softwarepaketen Änderungen<br />
nur noch unter ganz bestimmten<br />
Bedingungen in die<br />
kommende Debian-Release<br />
einbringen.<br />
Zu den erlaubten Ergänzungen<br />
gehören kritische Bugs<br />
und Änderungen, die zum<br />
Erreichen der offiziellen Release-Ziele<br />
zwingend erforderlich<br />
sind, beispielsweise<br />
durchgehende IPv6-Unterstützung<br />
und Multi-Arch. Verbesserte<br />
Übersetzungen und<br />
aktualisierte Dokumentation<br />
sind zum Wohle des Nutzers<br />
ebenfalls gestattet.<br />
Detaillierte Informationen<br />
gibt es in der Freeze-Policy<br />
für Wheezy auf Debians Webseiten<br />
[http://release.debian.org/<br />
wheezy/freeze_policy.html]. n<br />
Fennec mit neuer Sehhilfe<br />
Startansicht des PHP-CMS Silverstripe in Version 3.<br />
Der Smartphone-Browser für<br />
Android erhält von den Mozilla-Entwicklern<br />
einige neue<br />
Funktionen. Webseiten lassen<br />
sich jetzt in einer speziellen<br />
Lese-Ansicht darstellen, ohne<br />
den Browser verlassen zu<br />
müssen. Das nützt Menschen<br />
mit Sehproblemen, denen sich<br />
Texte nun auch in anderen<br />
Schriftgrößen präsentieren.<br />
Auch helfen verschiedene<br />
Hintergründe, die Schrift zum<br />
Beispiel mit höherem Kontrast<br />
darzustellen.<br />
Die Version befindet sich im<br />
Nightly-Status. Daher sollte<br />
ein Test nicht allzu kritisch<br />
ausfallen. Wer auf Nummer<br />
sicher gehen will, wartet auf<br />
die offizielle Präsentation des<br />
Browsers in Google Play. n<br />
Eclipse Juno<br />
Debian bekommt Mirror-Redirector<br />
Die traditionelle Eclipse-<br />
Release von Ende Juni ging<br />
gut über die Bühne: Mit dem<br />
Codenamen Juno verbinden<br />
die Eclipse-Entwickler eine<br />
Reihe Veröffentlichungen von<br />
Eclipse und mehreren angedockten<br />
Projekten.<br />
Eclipse selbst steht nun in<br />
Version 4.2 zur Verfügung,<br />
die Ausgabe 3.x wandert in<br />
den Wartungsmodus. Für<br />
Kompatibilität zwischen 3.x<br />
und 4.2 sorge eine Kompatibilitätsschicht,<br />
versichern die<br />
Entwickler. Weitere Informationen<br />
zu den Bestandteilen<br />
und Neuerungen liefert die<br />
Projektankündigung auf der<br />
Eclipse-Website [http://www.<br />
eclipse.org], wo Juno in diversen<br />
Paketen mit unterschiedlichem<br />
Umfang zum Download<br />
bereitsteht.<br />
Bereits im neunten Jahr in Folge<br />
kann die Community den<br />
Juni als Gemeinschaftstermin<br />
für die Veröffentlichung<br />
halten. Die Juno-Release repräsentiert<br />
die Arbeit von 72<br />
Projekten und umfasst 55 Millionen<br />
Zeilen Code. n<br />
Der Debian-Entwickler Raphael<br />
Geissert hat den Mirror-<br />
Redirector der Öffentlichkeit<br />
vorgestellt. Er ist unter [http://<br />
http.debian.net] erreichbar. Die<br />
Adresse leitet HTTP-Anfragen<br />
von Webseiten-Besuchern automatisch<br />
an einen geografisch<br />
nahe gelegenen Spiegelserver<br />
der Debian-Repositories<br />
weiter. Anwender tragen den<br />
Redirector beispielsweise mit<br />
»deb http://http.debian.net/<br />
debian stable main« in die<br />
Konfigurationsdatei »/etc/<br />
apt/sources.list« ihres Software-Verwaltungstools<br />
Apt<br />
ein. Den Rest erledigt die neue<br />
Weiterleitung.<br />
Eine erste Version hatte<br />
Geissert bereits im Januar<br />
auf Debians Entwicklerliste<br />
gezeigt. Dank der Rückmeldungen<br />
der ersten Benutzer<br />
sind nun noch einige Verbesserungen<br />
eingeflossen. Neben<br />
der neuen Seite existiert die<br />
Demo-Seite [http://http.debian.<br />
net/demo.html], die eine Weiterleitung<br />
transparent macht<br />
und sich auch zum Debuggen<br />
verwenden lässt. n
Neuheiten von O’Reilly<br />
Lösungen vorprogrammiert<br />
Oracle <strong>Linux</strong> 6.3 verbessert Btrfs<br />
Der Hard- und Software-Anbieter<br />
Oracle hat seine auf<br />
den Red-Hat-Quellen beruhende<br />
<strong>Linux</strong>-Distribution ihrem<br />
Vorbild folgend auf Version<br />
6.3 hochgeschaltet. Das<br />
Kernstück der Distribution<br />
ist der Unbreakable Enterprise<br />
Kernel, der nun auf dem<br />
<strong>Linux</strong>-Kernel 3.0.16 mit aktualisierten<br />
Kernel- und Storage-<br />
Treibern beruht.<br />
Daneben gibt es neue Features<br />
beim Dateisystem Btrfs. Dazu<br />
gehören Online-Defragmentierung,<br />
LZO-Komprimierung<br />
sowie Scrubbing, welches<br />
das Dateisystem auf Integrität<br />
prüft und gegebenenfalls<br />
repariert. Die aktualisierte<br />
Der Microsoft-Partner Capgemini<br />
stellt sich gegen Redmond<br />
auf und bringt ein<br />
Open-Source-basiertes Online-Angebot<br />
als Konkurrenz<br />
zu MS Exchange Online auf<br />
den Markt. Als „Homemade<br />
Cloud Solution“ für Kalender<br />
und Mail bezeichnet der<br />
Enterprise-Dienstleister sein<br />
neuestes Produkt.<br />
Sicheres Messaging sei inklusive,<br />
Open Source und offene<br />
Standards eine Selbstverständlichkeit,<br />
sagt Capgemini-<br />
Consultant Bouke Koelstra in<br />
einer niederländischen Pressemitteilung<br />
des Konzerns. Große<br />
Konzerne könnten „eine<br />
Menge Geld sparen“, wirbt er<br />
mit dem bekannten Argument<br />
für quelloffene Software.<br />
Hinter dem Enterprise-Produkt<br />
verbirgt sich die Open-<br />
Source-Groupware Zarafa. Sie<br />
ist dafür beliebt, mobile Geräte<br />
mit der selbst entwickelten<br />
Version des Tools Btrfsfsck<br />
besitzt ebenfalls eine Reparatur-Option,<br />
die Prüfsummen<br />
zurücksetzt. Außerdem gibt<br />
es einige Verbesserungen, die<br />
den Betrieb von Oracle <strong>Linux</strong><br />
als Gast unter Oracle VM und<br />
Xen betreffen.<br />
Eine Liste der Änderungen<br />
findet sich in den Release<br />
Notes. Images für Installation<br />
oder für den VM-Betrieb stehen<br />
zum kostenlosen Download<br />
auf einer Oracle-Wikiseite<br />
[https://wikis.oracle.com/<br />
display/oraclelinux/Downloading+<br />
Oracle+<strong>Linux</strong>] bereit. Unternehmen<br />
können von Oracle hierfür<br />
auch kostenpflichtigen<br />
Support buchen.<br />
n<br />
Capgemini zielt auf MS Exchange Online<br />
Active-Sync-Alternative Z-<br />
Push [http://z‐push.sourceforge.<br />
net/soswp/] zu integrieren, und<br />
verspricht auch Outlook 2010<br />
sinnvoll anzubinden. Dazu<br />
verhilft die eigene Arbeit der<br />
Firma Zarafa an den Exchange<br />
Web Services (EWS).<br />
Capgemini sieht das Groupware-Angebot<br />
laut Mitteilung<br />
nur als „das erste in einer ganzen<br />
Reihe von Produkten, die<br />
allesamt auf den Enterprise-<br />
Markt zielen und Cloud-basiert<br />
arbeiten“, heißt es ehrgeizig<br />
in der Mitteilung.<br />
Capgemini ist ein französischstämmiges<br />
Beratungshaus für<br />
Informationstechnologie. Es<br />
beschäftigt 120 000 Mitarbeiter<br />
weltweit, davon etwa<br />
9000 in Mitteleuropa, und<br />
unterhält Niederlassungen in<br />
34 Ländern. Von den 13 Büros<br />
in Deutschland liegt der<br />
Hauptsitz am teuren Berliner<br />
Potsdamer Platz. <br />
n<br />
Blog:<br />
community.oreilly.de/blog<br />
Google+:<br />
bit.ly/googleplus_oreillyverlag<br />
Clusterbau: Hochverfügbarkeit<br />
mit <strong>Linux</strong>, 3. Auflage<br />
Michael Schwartzkopff, 424 Seiten, 2012, 44,90 €<br />
ISBN 978-3-86899-358-5<br />
Von modernen IT-Diensten wird erwartet,<br />
dass sie ohne wahrnehmbare Ausfallzeit kontinuierlich<br />
zur Verfügung stehen. Wie Systemadministratoren<br />
dies mit Hilfe der Clustersoftware<br />
pacemaker erreichen können, zeigt<br />
Hochverfügbarkeitsexperte Dr. Michael<br />
Schwartzkopff in dieser aktualisierten dritten<br />
Auflage. Er beleuchtet, was Hoch verfügbarkeit<br />
bedeutet, führt in die Grund lagen von<br />
Clustern ein und erklärt praxisnah die<br />
Arbeitsweise der verschiedenen Programme.<br />
Arduino Kochbuch<br />
Michael Margolis<br />
626 Seiten, 2012, 44,90 €<br />
ISBN 978-3-86899-353-0<br />
Mehr als 200 Tipps & Techniken zur beliebtesten<br />
Microcontroller-Umgebung: Mit dem<br />
Arduino-Kochbuch bringen Sie Ihre Gadgets,<br />
Spielzeuge oder selbstgebaute Roboter dazu,<br />
miteinander zu interagieren. Sie entwickeln<br />
T-Shirts, die spüren, wenn es Zeit für eine<br />
Jacke wird oder Sie umgehen die Fernbe dienung<br />
Ihres Fernsehers u.v.m. Für Arduino 1.0<br />
– keine Vorkenntnisse notwendig.<br />
Praxiswissen Drupal<br />
Friedrich Stahl & Olav Schettler<br />
240 Seiten, 2012, 24,90 €<br />
ISBN 978-3-86899-193-2<br />
Mit Praxiswissen Drupal 7 erhält der Leser<br />
einen kompakten Einstieg in das Open<br />
Source-Framework und lernt anhand eines<br />
Beispielprojekts, eine Drupal-basierte<br />
Website Schritt für Schritt aufzusetzen.<br />
Diese 2. Auflage wurde auf die Drupal-<br />
Version 7 aktualisiert.<br />
Hadoop - The Definitive Guide<br />
Tom White<br />
682 Seiten, 2012, 41,- €<br />
ISBN 978-1-4493-1152-0<br />
Ready to unlock the power of your data?<br />
This book is ideal for programmers looking<br />
to analyze datasets of any size, and for<br />
administrators who want to set up and run<br />
Hadoop clusters. You’ll learn how to build<br />
and maintain reliable, scalable, distributed<br />
systems with Apache Hadoop.<br />
O’REILLY ®<br />
www.oreilly.de<br />
Facebook:<br />
facebook.com/oreilly.de<br />
Twitter:<br />
twitter.com/oreilly_verlag
Aktuell<br />
www.linux-magazin.de News 09/2012<br />
10<br />
Kurznachrichten<br />
Glibc 2.16: Die C-Bibliothek des GNU-Projekts. Neu: Die neue Release<br />
unterstützt das x32-ABI auf x86_64-Systemen. Daneben setzt sie weitere<br />
Features des ISO-Sprachstandards C 11 um. Der Code für <strong>Linux</strong>-Kernel vor<br />
Version 2.4 sowie für die Unterstützung anderer Binärformate als ELF<br />
wurde entfernt. Daneben haben die Entwickler zahlreiche Bugs behoben.<br />
Lizenz: LGPL [http://www.gnu.org/software/libc/]<br />
Wireshark 1.8.0: Freier Traffic-Analyzer in Netzwerken für <strong>Linux</strong>, Windows<br />
und Mac. Neu: Erstmals kann das Werkzeug den Netzwerkverkehr<br />
mehrerer Schnittstellen gleichzeitig aufzeichnen. Daneben haben die<br />
Entwickler dem Wireshark-Repertoire rund 100 neue Netzwerkprotokolle<br />
hinzugefügt. Wireshark speichert Captures nun im Format Pcap-ng, das<br />
ältere Pcap-Format unterstützt das Tool aber weiter. Dazu kommen einige<br />
neue Formate wie etwa Solaris Snoop. Lizenz: GPLv2 [http://www.<br />
wireshark.org]<br />
Blog Literately 0.5: In Haskell geschriebener Blogging-Client, der mit<br />
Blog-Engines zusammenarbeitet, die das Metaweblog-API unterstützen.<br />
Neu: Die Release kann auch Bilder publizieren und lässt sich zudem als Bibliothek<br />
in Programmen verwenden. Daneben hebt die Software erwartete<br />
Ausgaben in Sitzungen mit dem Haskell-Interpreter Ghci farbig hervor.<br />
Lizenz: GPLv3 [http://hackage.haskell.org/package/BlogLiterately]<br />
Fuduntu 2012.3: Desktop-Distribution mit Sinn für Humor und Ästhetik.<br />
Neu: <strong>Linux</strong>-Kernel 3.4.4 und GCC 4.6.3. Die Distribution führt Grub 2 als<br />
Bootloader ein, um für mehr Kompatibilität beim wechselweisen Booten<br />
mit anderen <strong>Linux</strong>en zu sorgen und die Unterstützung für UEFI vorzubereiten.<br />
Unter den aktualisierten Anwendungen finden sich zudem Chromium<br />
19.0.1084.56, Firefox 13.0.1 und Thunderbird 13.0.1, Gimp 2.8, Libre Office<br />
3.5.4.2 und Wine 1.4.1. Lizenz: GPLv2 [http://www.fuduntu.org/get.html]<br />
Super Grub2 Disk: Livesystem, das sich zur Wiederherstellung kaputter<br />
Bootloader eignet. Neu: Die Super Grub Disk ist mit dem Support von Grub<br />
2.00 nun als Super Grub2 Disk verfügbar. Sie kann nicht mehr, wie noch der<br />
Vorgänger, den Master Boot Record direkt schreiben. Stattdessen muss die<br />
Neuinstallation des Bootloaders von einem System erfolgen, das mit der<br />
Super Grub2 Disk gebootet wurde. Diese Disk bootet im Gegensatz zum<br />
Vorgänger auch Mac OS X sowie von USB-Sticks. Lizenz: GPL [http://www.<br />
supergrubdisk.org/wiki/SuperGRUB2Disk]<br />
Pyrun 1.0.0: Python-Laufzeitumgebung in einer einzigen Datei mit Binaries<br />
für <strong>Linux</strong>, Windows, Mac OS X und Free BSD. Neu: Die Egenix.com GmbH<br />
hat die Software bisher in ihrem Mx ODBC Connect Server eingesetzt und<br />
jetzt im Quelltext veröffentlicht. Das rund 12 MByte große Binary enthält<br />
den Interpreter für Python 2.5 bis 2.7 sowie eine fast vollständige Standardbibliothek.<br />
Laut Hersteller soll darauf der Großteil der existierenden<br />
Python-Skripte und ‐Anwendungen laufen. Lizenz: Egenix Public License<br />
Agreement 1.1.0 [http://www.egenix.com/products/python/PyRun/]<br />
Strongswan 5.0: Freie IPsec-Implementierung für <strong>Linux</strong>, Android, Free BSD<br />
und Mac OS X. Neu: In der neuen Release ist der Daemon Charon sowohl<br />
für Version 1 als auch für Version 2 des Internet-Key-Exchange-Protokolls<br />
(IKE) zuständig. Der bisherige IKEv1-Daemon Pluto entfällt: Das Projekt<br />
will den Versionszweig 4.x warten, aber nicht mehr weiterentwickeln.<br />
Die Entwickler haben den Messagebus überarbeitet, um Deadlocks durch<br />
Listener zu verhindern. Der aktualisierte Scepclient arbeitet auch mit Windows<br />
Server 2008 R2 zusammen. Lizenz: GPLv2 [http://www.strongswan.<br />
org/download.html]<br />
GNU Units 2.0: Programm zum Umrechnen zwischen Maßeinheiten, mit<br />
dem Anwender eigene Einheiten definieren und auf eingebaute mathematische<br />
Funktionen zurückgreifen. Neu: Die Release kann auch mit Summen<br />
von Einheiten rechnen, etwa Stunden und Minuten oder Feet und Inches.<br />
Die Software kodiert jetzt in UTF-8. Da die neue Version Einheiten relativ<br />
zu Umgebungsvariablen setzen kann, lassen sich Maßeinheiten ohne Änderung<br />
des Locale einstellen. Daneben hat sich die Syntax zum Definieren<br />
nicht linearer Einheiten geändert. Lizenz: GPL [http://xbmc.org]<br />
Kolab 3 kommt im Herbst<br />
Kolab 3.0 soll im Herbst dieses<br />
Jahres erscheinen: Unter<br />
dem Titel „Update, Überblick<br />
und Release-Pläne“ hat der<br />
Kolab-Systems-Geschäftsführer<br />
Georg Greve in seinem<br />
Blog den aktuellen Stand und<br />
die weitere Entwicklung des<br />
Groupware-Servers skizziert<br />
[http://kolab.org/blog/greve/2012/<br />
07/03/kolab‐3.0‐updateoverviewand‐release‐plans].<br />
Die Software<br />
war eigentlich schon für Mai<br />
angekündigt. Doch „mehr Arbeit<br />
als erwartet, weniger Hilfe<br />
als erhofft und unerwartete<br />
Unterbrechungen“ hätten zu<br />
der Verzögerung geführt,<br />
schreibt Greve.<br />
Neben dem neuen Webfrontend<br />
(basiert auf Roundcube,<br />
nicht mehr Horde) und verbesserter<br />
Anbindung von KDE<br />
4.9 standen der Relaunch der<br />
Webseite, zahlreiche IRC-<br />
Meetings und die zwischenzeitliche<br />
Veröffentlichung von<br />
Kolab 2.4 auf der To-do-Liste.<br />
Systemarchitekt Jeroen van<br />
Meeuwen und Maintainer<br />
Cristoph Wickert haben laut<br />
Greve vor allem an der Skalierbarkeit,<br />
der LDAP-Integration<br />
und dem Ressourcenmanagement<br />
gearbeitet. Neu ist<br />
auch ein REST-API.<br />
Weiter erlaubt das neue Konzept<br />
eines „Serverside Akonadi“<br />
dem Groupware-Server,<br />
sich zwischen die Clients einzuklinken.<br />
Hier puffert und<br />
indiziert er die Daten und<br />
soll so für deutlichen Geschwindigkeitszuwachs<br />
sorgen.<br />
Außerdem arbeiten die<br />
Entwickler mit Owncloud zusammen,<br />
um den Anwendern<br />
Cloud-Datendienste anbieten<br />
zu können. (uba/mhu/azi/<br />
jkl/mfe/ofr/ake)<br />
n<br />
Im Kolab-Wiki haben die Entwickler die neue Struktur der Kolab-Groupware als<br />
Diagramm hinterlegt. Das Zentrum bildet der Akonadi Control Server.<br />
© Kolab
1&1 WEBHOSTING<br />
BESSER HOSTEN!<br />
Kein anderer Webhoster<br />
überzeugt durch so viel<br />
Kompetenz, Know-how<br />
und Qualität wie 1&1.<br />
Ausgabe 05/12 Ausgabe 07/12<br />
Maximal sicher:<br />
Paralleles Hosting Ihrer<br />
Website in zwei Hightech-<br />
Rechenzentren an verschiedenen<br />
Orten!<br />
Superschnell:<br />
275 GBit/s Anbindung!<br />
Umweltschonend:<br />
Grüner Strom!<br />
Zukunftssicher:<br />
1.300 eigene Entwickler!<br />
… ACHTUNG! ANGEBOT ENDET AM 31.08.2012 … ACHTUNG! ANGEBOT ENDET AM 31.08.2012 …<br />
Komplett-Paket für professionelle Websites:<br />
■ 4 Domains inklusive (Auswahl aus .de, .com, .net, .org,<br />
.biz, .info, .name, .eu, .at)<br />
■ 4 GB Webspace<br />
■ UNLIMITEDTraf fi c<br />
■ 5 FTP-Accounts<br />
■ 5 MySQL Datenbanken (je 1 GB)<br />
■ UNLIMITED Click & Build Apps (Auswahl aus 65 Anwendungen,<br />
z. B. Joomla!, WordPress, eCommerce, CMS)<br />
■ PHP5, Zend Framework, Perl, Python, Ruby, SSI<br />
■ NUR BEI 1&1: GEO-REDUNDANZ!<br />
Maximale Verfügbarkeit durch paralleles Hosting<br />
in zwei örtlich getrennten Hightech-Rechenzentren<br />
■ u. v. m.<br />
1&1 DUAL BASIC<br />
1 JAHR FÜR<br />
0,–99 6, danach<br />
6,99 0,–€/Monat,<br />
0,–€/Monat*<br />
DOMAINS OHNE EINRICHTUNGSGEBÜHR – AKTION BIS 31.08.:<br />
€/Monat<br />
29<br />
(im 1. Jahr)<br />
.de 0, 0, 49 €<br />
.com/.net/.org<br />
*<br />
€/Monat<br />
69 (im 1. Jahr) .com/.net/.org 0, 1, 49 €<br />
*<br />
0 26 02 / 96 91<br />
0800 / 100 668 www.1und1.info<br />
* 1&1 Dual Basic im 1. Jahr 0,– €/Monat, danach 6,99 €/Monat. .de Domain im 1. Jahr 0,29 €/Monat, danach 0,49 €/Monat, .com, .net, .org im 1. Jahr 0,69 €/Monat, danach 1,49 €/Monat.<br />
Einmalige Einrichtungsgebühr 9,60 € (entfällt bei Domains). 24 Monate Mindestvertragslaufzeit (12 Monate bei Domains). Preise inkl. MwSt.
Aktuell<br />
www.linux-magazin.de Zahlen & Trends 09/2012<br />
12<br />
Zahlen & Trends<br />
Wikimedia Deutschland verleiht Zedler-Preise<br />
Zum Abschluss der Konferenz<br />
Wikipedia Academy vom 29.<br />
Juni bis 1. Juli 2012 in Berlin<br />
hat Wikimedia Deutschland<br />
den Zedler-Preis für freies<br />
Wissen vergeben. Der in drei<br />
Kategorien vergebene Preis<br />
feierte dieses Jahr sein Debüt.<br />
Mit einem Jahr Vakanz löst er<br />
die 2010 letztmals verliehene<br />
Zedler-Medaille ab.<br />
Der Zedler-Preis belohnt,<br />
anders als seine Vorgängerin,<br />
nicht mehr nur außergewöhnliche<br />
Artikelbeiträge zur<br />
Wikipedia, sondern auch das<br />
beste Community-Projekt und<br />
darüber hinaus das beste externe<br />
Wissensprojekt.<br />
Die Trophäen des Zedler-Preises 2012, der die Zedler-Medaille ablöst.<br />
In der Kategorie I siegte „Nuklearkatastrophe<br />
von Fukushima“<br />
als Wikipedia-Artikel<br />
des Jahres. Das österreichische<br />
Portal „Denkmallisten“<br />
© CC-BY-SA-3.0 von Raimond Spekking via Wikimedia Commons<br />
entschied als Community-Projekt<br />
die zweite Kategorie für<br />
sich. Drittens überzeugte als<br />
externes Wissensprojekt des<br />
Jahres das „Vroniplag“-Wiki.<br />
Insgesamt standen 17 Personen,<br />
Gruppen und Projekte<br />
zur Wahl, die eine Jury aus<br />
ehrenamtlichen Wikipedia-<br />
Aktiven, Wissenschaftlern<br />
und Journalisten aus rund<br />
100 eingereichten Vorschlägen<br />
nominiert hatte. Der Preisverleihung<br />
ist eine Wiki-Seite mit<br />
mehr Informationen gewidmet<br />
[http://wikimedia.de/wiki/<br />
Zedler‐Preis].<br />
Die Auszeichnung ist nach<br />
Johann Heinrich Zedler benannt,<br />
der im 18. Jahrhundert<br />
ein Universal-Lexikon herausbrachte,<br />
das als größtes bis<br />
dahin gedrucktes Universallexikon<br />
des Abendlands gilt. n<br />
Gebrauchte Software: Weiterverkauf ist legal<br />
Mit einem überraschenden<br />
Sieg über Oracle endete kürzlich<br />
ein Verfahren von Oracle<br />
gegen die deutsche Firma<br />
Used Soft vor dem Europäischen<br />
Gerichtshof (EuGH).<br />
Der deutsche Bundesgerichtshof<br />
hatte den EuGH ersucht,<br />
die Richtlinie (2009/24/EG)<br />
über den Rechtsschutz von<br />
Computerprogrammen auszulegen.<br />
Nach Meinung der<br />
europäischen Richter ist der<br />
Handel mit gebrauchter Software<br />
zulässig.<br />
Demnach erschöpft sich das<br />
alleinige Recht zur Verbreitung<br />
einer Programmkopie<br />
mit dem Erstverkauf. Der<br />
Rechtsinhaber, der das Programm<br />
in einem Mitgliedsstaat<br />
der Union vermarktete,<br />
kann sich dann nicht mehr auf<br />
sein Verwertungsmonopol berufen.<br />
Sprich: Er kann nichts<br />
gegen den Weiterverkauf des<br />
Programms tun, selbst wenn<br />
der Lizenzvertrag eine spätere<br />
Veräußerung untersagt.<br />
Oracle hatte den Standpunkt<br />
vertreten, dass dies bei Downloads<br />
nicht der Fall sei. Der<br />
EuGH findet jedoch, der Verkauf<br />
per Datenträger sei dem<br />
per Download gleichgestellt.<br />
Lediglich dürfe der Wiederverkäufer<br />
Volumenlizenzen<br />
nicht aufspalten. Er muss also<br />
ein gekauftes Paket genau so<br />
weiterverkaufen.<br />
Oracle zeigt sich von dem Urteil<br />
enttäuscht: „Wir meinen,<br />
dass der Gerichtshof der Europäischen<br />
Union die Chance<br />
verpasst hat, eine klare Botschaft<br />
über den Wert von Innovation<br />
und geistigem Eigentum<br />
an die europäische Wirtschaft<br />
auszusenden. Unserer<br />
Ansicht nach ist dies nicht das<br />
Ende der Rechtsentwicklung“,<br />
so Truiken Heydn von TCI<br />
Rechtsanwälte, dem Oracle-<br />
Vertreter vor dem EuGH.<br />
Microsoft findet auch einen<br />
positiven Aspekt, wie ein Unternehmenssprecher<br />
hervorhebt:<br />
„Im Großteil sind die<br />
Volumenlizenzverträge von<br />
Microsoft betroffen. In dem<br />
Urteil wird gesagt, dass der<br />
Weiterverkauf von Lizenzen<br />
zwar erlaubt ist, aber nicht<br />
die Aufspaltung von Lizenzen.<br />
Siemens wird nicht<br />
plötzlich all seine Lizenzen<br />
verkaufen.“<br />
Der Branchenverband Bitkom<br />
befürchtet, dass das Urteil<br />
Raubkopien Tür und Tor<br />
öffne. Hauptgeschäftsführer<br />
Bernhard Rohleder kommentiert:<br />
„Bei einem unkontrollierten<br />
Weiterverkauf kann<br />
aus einer legalen Kopie schnell<br />
eine Vielzahl illegaler Kopien<br />
werden. Es ist fraglich, ob die<br />
ursprünglichen Lizenzbedingungen<br />
dann noch nachvollziehbar<br />
sind.“<br />
n
Google Plus mit Events auch für Tablets<br />
Auf seiner Entwicklerkonferenz<br />
gab das Suchmaschinen-Unternehmen<br />
Google<br />
bekannt, dass es sein soziales<br />
Netzwerk Google Plus erneut<br />
überarbeitet hat. Unter<br />
anderem gibt es nun eine an<br />
Tablets angepasste Version.<br />
Bisher war die Google-Plus-<br />
Oberfläche nicht für Android-<br />
Tablets optimiert.<br />
Mit der nun auf der Konferenz<br />
veröffentlichten Tablet-Version<br />
sind die Beiträge im Stream<br />
wie Kacheln angeordnet. Ein<br />
Klick auf einen Beitrag öffnet<br />
diesen im Detail, von unten<br />
herauf lassen sich die Kommentare<br />
aufziehen und eigene<br />
Beiträge einfügen.<br />
Auch am Smartphone hat<br />
sich das Äußere der Anwendung<br />
deutlich gewandelt. Der<br />
Stream wirkt jetzt schlanker<br />
und Texte rücken mehr in den<br />
Fokus, da die App sie in ihrer<br />
Übersicht nicht mehr so stark<br />
kürzt wie vorher.<br />
Neu bei Google Plus<br />
sind die Google Plus<br />
Events zum Organisieren<br />
von Treffen. Damit<br />
fertigen Nutzer via<br />
Web oder im mobilen<br />
Client Einladungen an<br />
und verteilen sie an ihre<br />
Kreise. Der Empfänger<br />
erhält die Information<br />
in Google Plus wie<br />
bei einer persönlichen<br />
Nachricht. Sagt er zu,<br />
wandert der Termin<br />
automatisch in den<br />
Google-Kalender.<br />
Der Clou von Google<br />
Plus Events ist jedoch<br />
der Partymodus. Ist<br />
dieser auf dem Handy<br />
aktiviert, fügt es ohne<br />
Umwege und in Echtzeit<br />
Bilder und Videos zu dem<br />
jeweiligen Event hinzu. Das<br />
gilt für den Veranstalter selbst<br />
Ansicht der neuen Tablet-Variante von Google Plus.<br />
wie auch für die Gäste. Die<br />
Fotos lassen sich auch direkt<br />
in einer Live-Diashow ansehen.<br />
Nach dem Event<br />
bleibt eine Sammlung auf<br />
der jeweiligen Veranstaltungsseite<br />
übrig, die alle<br />
Bilder, Videos und Kommentare<br />
der Teilnehmer<br />
in chronologischer Reihenfolge<br />
zeigt.<br />
Google holt vieles nach,<br />
das bei seinem sozialen<br />
Netzwerk bislang fehlte.<br />
Unter Technik-Fans galt<br />
Google Plus bislang zwar<br />
als beliebt, konnte jedoch<br />
mit den sozialen Features<br />
etwa von Facebook nicht<br />
mithalten. Die offizielle<br />
Ankündigung von Google<br />
Plus für Tablets findet<br />
sich im Google-Blog unter<br />
[http://googleblog.blogspot.de/<br />
2012/06/1.html].<br />
n<br />
© Google<br />
Zahlen & Trends 09/2012<br />
Aktuell<br />
www.linux-magazin.de<br />
13<br />
Jetzt auch Paypal: Bugs gegen Bares<br />
Neue Apps für<br />
Zarafas API<br />
VMware kauft<br />
Dynamicops<br />
Vorbildern wie Mozilla folgend<br />
legt der Bezahlservice Paypal<br />
ein Bonusprogramm für die<br />
Suche nach Fehlern auf. Der<br />
Dienst will mit der Aktion<br />
seine Sicherheit erhöhen, indem<br />
er auf den Community-<br />
Prozess setzt und damit die<br />
Zahl der begutachtenden Augen<br />
erhöht.<br />
Mit diesem Ziel wird das<br />
bisher vorhandene Bug-Reporting-Programm<br />
zu dem<br />
bezahlten Programm „Bug<br />
Bounty“, so schreibt Michael<br />
Barrett, Chief Information<br />
Security Officer von Paypal,<br />
im Firmenblog. Die positiven<br />
Erfahrungen von Firmen wie<br />
Facebook, Google, Mozilla,<br />
Samsung und anderen hätten<br />
Paypal dazu bewogen,<br />
ein vergleichbares Programm<br />
aufzusetzen. Seine ursprüngliche<br />
Skepsis gegenüber der<br />
bezahlten Fehlerjagd, so Barrett,<br />
sei verflogen, nachdem<br />
er die Statistiken zu diesen<br />
Aktionen gesehen habe.<br />
Paypal bekennt sich also zum<br />
Viele-Augen-Prinzip, will aber<br />
nicht verraten, wie viel Geld<br />
es für die Fehlerjäger springen<br />
zu lassen bereit ist. Zur<br />
Auszahlung bedarf der Belohnte<br />
natürlich eines Paypal-<br />
Accounts.<br />
Details zu dem neuen Programm<br />
sind auf der Paypal-<br />
Webseite unter [https://cms.<br />
paypal.com/cgi‐bin/marketingweb?<br />
cmd=_render‐content&content_ID=<br />
security/reporting_security_issues]<br />
nachzulesen.<br />
n<br />
Die neue Weboberfläche von<br />
Zarafas Groupware „Web<br />
App“ bietet ein API an, mit<br />
dem Entwickler eigene Apps<br />
einfacher ins GUI integrieren.<br />
Als Beleg hat der Hersteller<br />
auf seinem Developer Summit<br />
Entwickler am 21. und 22.<br />
Juni im niederländischen Rolduc<br />
darin unterstützt, innerhalb<br />
von 48 Stunden eigene<br />
Apps zu programmieren.<br />
Heraus kamen ein Twitter-<br />
Plugin, ein PDF-Viewer und<br />
die Anbindung an Dropbox<br />
sowie an Sugar CRM. Unter<br />
[https://community.zarafa.com/pg/<br />
blog/read/12715/results‐of‐the‐48‐<br />
hour‐feature‐run‐summercamp‐2012]<br />
stellt das Unternehmen die<br />
Ergebnisse vor.<br />
n<br />
VMware hat einen Vertrag zum<br />
Kauf der Firma Dyna micops<br />
geschlossen, wie das Unternehmen<br />
in einer Mitteilung<br />
bekannt gab. Dynamicops,<br />
das aus der IT-Abteilung der<br />
Credit Suisse hervorgegangen<br />
ist, stellt Software für Automatisierung<br />
und Management<br />
heterogener virtualisierter<br />
Umgebungen her.<br />
Damit erweitert VMware seine<br />
Admin-Fähigkeiten auf die<br />
Hypervisor-Systeme anderer<br />
Hersteller, etwa Xen und Hyper-V.<br />
Auch das Management<br />
von Knoten in der Amazon-<br />
Cloud wird damit möglich.<br />
Im dritten Quartal 2012 soll<br />
die Übernahme formal abgeschlossen<br />
sein.<br />
n
Aktuell<br />
www.linux-magazin.de Zahlen & Trends 09/2012<br />
14<br />
Unternehmen befreunden sich mit Clouds<br />
Cloud Computing findet als<br />
neues Paradigma seinen Weg<br />
in die Unternehmen, das resümiert<br />
der Marktforscher IDC.<br />
Dem „Cloud Computing in<br />
Deutschland 2012“ widmete<br />
er jüngst im Kundenauftrag<br />
eine Studie, deren Ergebnisse<br />
er jetzt vorgestellt hat.<br />
Demnach nutzen 83 Prozent<br />
der befragten 284 deutschen<br />
Mittelständler Cloud<br />
Computing zumindest temporär.<br />
Fast ein Viertel strebe<br />
sogar an, möglichst alle Services<br />
in die Cloud zu migrieren,<br />
heißt es. Bei mehr als der<br />
Hälfte der Unternehmen ist<br />
das Thema Bestandteil ihrer<br />
offiziellen IT-Strategie.<br />
Als Antriebsfaktor steht nach<br />
wie vor die Kostensenkung<br />
an erster Stelle. Doch Motive<br />
wie der mobile Zugriff auf<br />
Daten und Unternehmensanwendungen<br />
oder eine Verbesserung<br />
der Sicherheit durch<br />
die Cloud haben im Vergleich<br />
zum vergangenen Jahr um 15<br />
Prozent zugelegt.<br />
Nicht mehr Sicherheitsprobleme<br />
hemmen die Adaption<br />
in erster Linie, die gleichwohl<br />
nach wie vor zu berücksichtigen<br />
sind. Dafür zeigen sich<br />
Unternehmen jetzt besorgter<br />
bezüglich Performance und<br />
Verfügbarkeit bei Public-<br />
Cloud-Services. Auch Sorgen<br />
um deren Integrierbarkeit lassen<br />
Zurückhaltung üben.<br />
Auch dieses Detail ergab die<br />
Studie: Wo die IT-Abteilung<br />
der Nachfrage nach Cloudservices<br />
nicht schnell genug<br />
nachkommt, nutzen Fachabteilungen<br />
Office- oder E-Mail-<br />
Angebote aus der Cloud sowie<br />
externe Kollaborationslösungen<br />
– häufig auf eigene Faust<br />
und ohne die IT-Abteilung zu<br />
informieren.<br />
n<br />
Ex-Nokias starten Meego-Firma<br />
<strong>Linux</strong>day Dornbirn ruft Papers<br />
Der Handyhersteller Nokia<br />
hat seine Mobil-<strong>Linux</strong>-Pläne<br />
aufgegeben. Nach den Entlassungen<br />
rund um die Meltemi-<br />
Plattform vor wenigen Tagen<br />
sorgen jetzt einige Ex-Nokia-<br />
Mitarbeiter für Furore: Meego<br />
soll weiterleben, die Firma<br />
Jolla Ltd. soll schon Ende des<br />
Jahres ein Smartphone mit<br />
dem mobilen <strong>Linux</strong> auf den<br />
Markt bringen.<br />
Hinter Jolla stehen Namen<br />
der Maemo- und Meego-Entwicklerszene,<br />
zum Beispiel<br />
Antti Saarnio, Jussi Hurmola,<br />
Sami Pienimäki, Stefano<br />
Mosconi oder Marc Dillon.<br />
Mit ihrer eigenen Firma wollen<br />
sie vollenden, was Nokia<br />
nach Meinung vieler stets nur<br />
halbherzig betrieben habe:<br />
ein echtes <strong>Linux</strong>-Smartphone<br />
mit Paketmanagement, Kommandozeile,<br />
Qt- und X11-<br />
Kompatibilität sowie umfangreichen<br />
und sicheren Features<br />
zu entwickeln und auch zu<br />
vermarkten.<br />
„Zusammen mit internationalen<br />
privaten Investoren und<br />
Partnern werden wir noch in<br />
diesem Jahr ein neues Smartphone<br />
präsentieren, das dieses<br />
OS verwendet“, lautet das<br />
Versprechen in einer Pressemitteilung.<br />
Ansonsten ist<br />
über Jolla noch recht wenig<br />
bekannt: Die Webseite [http://<br />
www.jolla.fi] ist noch leer, eine<br />
Linked-in-Gruppe ebenfalls<br />
noch wenig aussagekräftig.n<br />
Das N9 von Nokia von Mitte 2011 ist das derzeit einzige Smartphone mit Meego.<br />
© Nokia<br />
Am 24. November findet im<br />
österreichischen Dornbirn<br />
der <strong>Linux</strong>day 2012 statt. Die<br />
Veranstalter laden dazu ein,<br />
Vorträge einzureichen. Erwünscht<br />
sind generell Beiträge<br />
zu allen <strong>Linux</strong>- und<br />
Open-Source-Themen, es gibt<br />
aber einige Themenschwerpunkte.<br />
Dazu gehören Cloud<br />
Computing, Android, IPv6,<br />
dezentrale soziale Netzwerke<br />
(etwa Diaspora), Privatsphäre<br />
im Internet sowie Multimedia<br />
fürs Zuhause.<br />
Themenvorschläge nehmen<br />
die Veranstalter bis zum 23.<br />
September 2012 unter der E-<br />
Mail-Adresse [papers@jlinuxday.<br />
at] entgegen. Auch 10-minütige<br />
Kurzvorträge (Lightning<br />
Talks) für Kleineres sind<br />
möglich. Informationsstände<br />
im Ausstellungsbereich sind<br />
ebenfalls noch zu haben. Weitere<br />
Informationen zu der Veranstaltung,<br />
die keinen Eintritt<br />
kostet, gibt es auf der <strong>Linux</strong>day-Homepage<br />
unter [http://<br />
www.linuxday.at].<br />
n<br />
Netzwerksicherheit-Erklärer gesucht<br />
Der 20. DFN-Workshop „Sicherheit<br />
in vernetzten Systemen“<br />
sucht Referenten.<br />
Der Workshop mit rund 300<br />
Teilnehmern findet am 19.<br />
und 20. Februar 2013 in Zusammenarbeit<br />
mit dem DFN-<br />
CERT im Grand Elysee Hotel<br />
Hamburg statt.<br />
Gewünscht sind Beiträge in<br />
Form einer anonymisierten<br />
Zusammenfassung (Abstract)<br />
oder eines vollständigen Paper.<br />
Beispiele für geeignete<br />
Themen sind neue Angriffstechniken,<br />
Botnetze, RFID-<br />
Sicherheit, Sicherheit Webbasierter<br />
Anwendungen, Erkennen<br />
und Klassifizieren von<br />
Malware und Angriffen sowie<br />
rechtliche Aspekte von IT-<br />
Sicherheit und Datenschutz.<br />
Weitere Informationen finden<br />
sich auf der Webseite [https://<br />
www.ldfn-cert.de/veranstaltungen/<br />
workshop.html].<br />
n
Die Digitalwirtschaft brummt<br />
Eine Studiensammlung des<br />
Bundesverbands Digitale<br />
Wirtschaft (BVDW, [http://<br />
www.bvdw.org]) belegt, dass die<br />
digitale Wirtschaft in Deutschland<br />
ein Wachstumsmotor für<br />
die Wirtschaft ist. Das kostenlos<br />
erhältliche Papier sammelt<br />
die Ergebnisse mehrerer Untersuchungen<br />
ein, um Trends<br />
herauszuarbeiten und mit<br />
Fakten zu hinterlegen.<br />
Zum Kern der digitalen Wirtschaft<br />
zählen die Autoren die<br />
Bereiche Service Access (mobile<br />
und stationäre Dienste<br />
für den Internetzugang und<br />
die Domainvergabe), Applikationen<br />
und Services (IT-<br />
Outsourcing, Hosting, Cloud<br />
Computing, Online-Marketing,<br />
Webanwendungen) und<br />
End-User-Interaktion (E-Commerce<br />
zwischen Unternehmen,<br />
B2C-E-Commerce mit<br />
Waren und Onlineservices sowie<br />
Webcontent-Produktion).<br />
Diese Wirtschaftsbereiche<br />
werden der Studie zufolge in<br />
diesem Jahr mit etwa 390000<br />
Beschäftigten 120 Milliarden<br />
Euro Umsatz erwirtschaften,<br />
gegenüber 110 Milliarden im<br />
Jahr 2011. Zwischen 2008<br />
und 2012 wuchs die Branche<br />
um jährlich neun Prozent im<br />
Durchschnitt.<br />
Diese Entwicklung schlägt<br />
sich auch auf dem Arbeitsmarkt<br />
nieder: Ein einziger<br />
Beschäftigter in der digitalen<br />
Wirtschaft sichert die Arbeitsplätze<br />
von acht bis zehn<br />
Beschäftigten in der Gesamtwirtschaft,<br />
heißt eines der erstaunlichen<br />
Ergebnisse. Auch<br />
in der Digitalwirtschaft selbst<br />
wächst der Arbeitskräftebedarf:<br />
2012 gaben knapp zwei<br />
Drittel der Unternehmen an,<br />
im Jahr 2011 neue Mitarbeiter<br />
fest angestellt zu haben. Für<br />
2012 prognostizierten sogar<br />
drei Viertel der Befragten eine<br />
weitere Zunahme ihrer Mitarbeiterzahl.<br />
In Bezug auf Professionals<br />
findet sich der höchste Bedarf<br />
in den Bereichen Projektmanagement,<br />
Strategie und Business<br />
Development, Marketing<br />
und Vertrieb sowie Informations-<br />
und Kommunikationstechnologie.<br />
Etwa sechs von<br />
zehn der Befragten suchen<br />
zudem verstärkt Professionals<br />
für den Bereich Beratung und<br />
Custumer Relationship Management<br />
(CRM).<br />
Als Trends bezeichnet die Studie<br />
steigenden Nutzerzahlen<br />
im Internet, die zunehmenden<br />
Online-Anwendungen<br />
sowie die stärkere Beteiligung<br />
und Interaktion dank sozialer<br />
Netzwerke. Außerdem würden<br />
Technologien und Medien<br />
immer mehr verschmelzen<br />
und bewegte Bilder im Web<br />
noch häufiger auftreten. n<br />
Zahlen & Trends 09/2012<br />
Aktuell<br />
www.linux-magazin.de<br />
15<br />
Mozilla sondert Thunderbird aus<br />
<strong>Linux</strong>-Server<br />
Das Administrationshandbuch<br />
<strong>Linux</strong><br />
Das umfassende Handbuch<br />
Die Mozilla Foundation ändert<br />
das Entwicklungsmodell<br />
ihres E-Mail-Programms<br />
Thunderbird. Eine letzte<br />
Version mit Langzeitunterstützung<br />
(Extended Support<br />
Release, ESR) soll im November<br />
erscheinen. Danach wird<br />
es von der Stiftung selbst alle<br />
sechs Wochen nur noch Sicherheitsupdates<br />
geben. Neue<br />
Funktionen mögen freiwillige<br />
Helfer beisteuern.<br />
Für diese recht drastische<br />
Maßnahme nennt Mitchell<br />
Baker, die Vorsitzende der Mozilla-Stiftung,<br />
mehrere Gründe<br />
in ihrem Blog. So seien die<br />
Thunderbird-Anwender mit<br />
dem bisherigen Funktionsumfang<br />
zufrieden, dieser somit<br />
ausreichend, argumentiert<br />
sie. Zudem habe Mozilla es<br />
nicht geschafft, mit dem E-<br />
Mail-Client neue Impulse in<br />
der Internetkommunikation<br />
zu setzen.<br />
Baker weist auch darauf hin,<br />
dass eine aktive Helfer-Basis<br />
fehle, einzige Ausnahme<br />
wären die engagierten Übersetzerteams.<br />
Zudem würden<br />
heutzutage auch immer häufiger<br />
Webmail-Dienste genutzt.<br />
Nach Angaben der Mozilla<br />
Foundation hat Thunderbird<br />
weltweit um die 20 Millionen<br />
Nutzer.<br />
Das Thunderbird-Team sei daher<br />
der Meinung, dass für ihr<br />
E-Mail-Programm nur noch<br />
die Stabilität im Vordergrund<br />
stehe. Mozilla werde weiterhin<br />
Sicherheitsaktualisierungen<br />
und Fehlerkorrekturen<br />
liefern. Neue Funktionen<br />
hingegen müssen nach dem<br />
neuen Entwicklungsmodell<br />
aus der Nutzergemeinschaft<br />
kommen. Die Mozilla Foundation<br />
finanziert weiterhin ein<br />
kleines Entwicklerteam und<br />
stellt die nötige Infrastruktur<br />
bereit, heißt es. <br />
n<br />
964 S., 2. Auflage, 49,90 €<br />
» www.GalileoComputing.de/3051<br />
openbook<br />
online!<br />
1.282 S., 5. Auflage 2012, mit 2 DVDs, 49,90 €<br />
» www.GalileoComputing.de/2963<br />
<strong>Linux</strong>-Wissen<br />
LPIC-1<br />
545 S., 3. Auflage 2012, mit DVD, 34,90 €<br />
» www.GalileoComputing.de/2653<br />
www.GalileoComputing.de<br />
LPIC-2<br />
554 S., mit DVD, 39,90 €<br />
» www.GalileoComputing.de/2886<br />
Wissen, wie’s geht.
Aktuell<br />
www.linux-magazin.de Zahlen & Trends 09/2012<br />
16<br />
<strong>Linux</strong> Essentials starten offiziell<br />
Das <strong>Linux</strong> Professional Institut<br />
(LPI) hat den allgemeinen<br />
Startschuss für sein <strong>Linux</strong>-<br />
Essentials-Programm rund<br />
um <strong>Linux</strong> und Open Source<br />
gegeben. Das Programm<br />
richtet sich an Neueinsteiger<br />
und Jugendliche, setzt aber<br />
gewisse Kenntnisse voraus.<br />
Die Prüfung ist ab sofort bei<br />
diversen Events im Angebot,<br />
zum Beispiel bei der „Campus<br />
Party Berlin“ am 21. August<br />
sowie bei der Froscon<br />
am 25. August. Neben diesen<br />
Prüfungen sind auch Internetbasierte<br />
Tests geplant.<br />
Das Essentials-Programm enthält<br />
unter anderem die Themengebiete:<br />
<strong>Linux</strong>-Community,<br />
berufliche Laufbahn im<br />
Bereich Open Source, gängige<br />
Betriebssysteme, wichtige<br />
Open-Source-Anwendungen,<br />
Lizenzen, Grundlagen der<br />
Kommandozeile, Dateien und<br />
Skripte. Details findet sich auf<br />
der Website unter [http://www.<br />
lpi.org/linuxessentials]. n<br />
Die Prüfung für <strong>Linux</strong>-Grundlagen<br />
wappnet für tiefere Einsichten.<br />
© LPI Central Europe<br />
KDE hält Qt die Treue<br />
Jos Poortvliet, der Community-Manager<br />
von Open Suse,<br />
lässt im KDE-Blog verlauten,<br />
dass das Desktop-Projekt<br />
KDE am Qt-Toolkit festhalten<br />
werde, selbst wenn Nokia<br />
sich zurückziehen sollte. Unter<br />
anderem Nokias Partnerschaft<br />
mit Microsoft in Sachen<br />
Windows Phone nährte bisher<br />
in der Community Befürchtungen,<br />
dass das finnische<br />
Unternehmen sich von Qt<br />
zurückziehen werde, erklärt<br />
Poortvliet.<br />
Damit würde immerhin der<br />
größte Sponsor des GUI-Toolkits<br />
entfallen, auch wenn Qt<br />
mittlerweile offiziell unter der<br />
Obhut einer eigenen Organisation<br />
steht. Poortvliet bekräftigt<br />
aber, das KDE-Projekt werde<br />
weiterhin mit Copyright-<br />
Inhabern sowie allen an der<br />
Qt-Entwicklung Beteiligten<br />
zusammenarbeiten. Zudem<br />
wolle sich KDE für den Status<br />
von Qt als freie Software einsetzen<br />
und an der Weiterentwicklung<br />
beteiligen.<br />
Auch beruft sich Jos Poortvliet<br />
auf KDEs Abkommen mit Nokia<br />
(siehe [http://www.kde.org/<br />
lcommunity/whatiskde/kdefreeqtfoundation]),<br />
wonach das Unternehmen<br />
sich dazu verpflichtet,<br />
das Toolkit für die<br />
Verwendung in freier Software,<br />
insbesondere KDE-Software,<br />
verfügbar zu halten. n<br />
Dell lässt Ubuntu-Ultrabooks testen<br />
Mozilla findet Partner für Firefox OS<br />
Dell hat mit „Project Sputnik“<br />
die Betaphase für sein<br />
geplantes Ubuntu-Ultrabook<br />
begonnen. Die Firma will das<br />
XPS13-Ultrabook mit einem<br />
vorinstallierten Ubuntu 12.04<br />
verkaufen und hört sich nun<br />
bei den Benutzern nach deren<br />
Wünschen um. Zwar hat Dell<br />
eine Webseite für das Projekt<br />
eingerichtet, liefert die Geräte<br />
aber zurzeit noch mit vorinstalliertem<br />
Windows aus. Über<br />
eine Ubuntu-Webseite laden<br />
die Anwender dann ein angepasstes<br />
Ubuntu-Image von<br />
Dell herunter.<br />
Dells Marketing-Mitarbeiter<br />
Barton George ruft in seinem<br />
Blog [http://www.bartongeorge.<br />
net/2012/07/02/announcing-project<br />
-sputnik-beta-program/] dazu<br />
auf, ein „Sputnik Beta Cosmonaut“<br />
zu werden. Die Teilnehmer<br />
an dieser Aktion erhalten<br />
eine preisgünstige Variante<br />
des Laptops: Dafür testen sie<br />
das Ubuntu-Ultrabook und<br />
berichten an Dell.<br />
Nach ersten Berichten bootet<br />
das Gerät angeblich so<br />
schnell, dass es schwierig<br />
ist, ins Bios zu gelangen, so<br />
ist bisher bekannt. Kritikpunkt<br />
ist das Touchpad, das<br />
sich nicht abschalten lässt<br />
und keine Multitouch-Gesten<br />
erkennt. Mittlerweile soll es<br />
einen Open-Source-Treiber<br />
von Canonical geben, der die<br />
Probleme behebt.<br />
Mit dem Gerät richtet sich<br />
Dell vor allem an Entwickler,<br />
entsprechend soll es populäre<br />
Entwicklungsumgebungen<br />
mitbringen und es<br />
Codern erleichtern, auf die<br />
Programmierwerkzeuge ihrer<br />
Lieblingssprache zuzugreifen.<br />
Dell installiert auf dem<br />
Image unter anderem Juju,<br />
Chef, Puppet, Bazaar, Git und<br />
Meld. Wann das Gerät in den<br />
Handel kommt, ist offen. n<br />
Mozillas <strong>Linux</strong>-basiertes Betriebssystem<br />
mit Gecko-Browser<br />
soll Firefox OS heißen.<br />
Nun nennt der Browserhersteller<br />
auch Kooperationspartner:<br />
Die ersten Geräte für das<br />
neue Mobil-Betriebssystem<br />
sollen von ZTE und TCL Communication<br />
Technology unter<br />
der Marke Alcatel One Touch<br />
erscheinen. In ihnen stecken<br />
die Snapdragon-ARM-Prozessoren<br />
von Qualcomm,<br />
so lautet der<br />
Plan.<br />
Der kommerzielle<br />
Start soll Anfang<br />
2013 zunächst in<br />
Brasilien unter Telefonicas<br />
Marke Vivo<br />
erfolgen. Weitere<br />
Partner sind die<br />
Mobilfunk-Anbieter<br />
Deutsche Telekom,<br />
Etisalat, Smart,<br />
Sprint, die Telecom<br />
Italia und Telenor.<br />
Die Technologie für Firefox<br />
OS liefert das Mozilla-Projekt<br />
Boot to Gecko (B2G), das<br />
die Browser-Engine mit dem<br />
<strong>Linux</strong>-Kernel kombiniert.<br />
Firefox OS ist für in HTML<br />
5 umgesetzte Anwendungen<br />
gedacht. Das Mozilla-Wiki beschreibt<br />
Details unter [https://<br />
wiki.mozilla.org/B2G/Architecture].<br />
(uba/mhu/jcb/azi/mfe/kki/ake/<br />
Tim Schürmann)<br />
n<br />
Firefox schwebt über Smartphone: So visualisiert<br />
Mozilla sein Mobil-Betriebssystem.<br />
© LPI Central Europe
WEBHOSTING · SCHULUNGEN · SUPPORT<br />
Professionelle Hostinglösungen<br />
Performance & Verfügbarkeit<br />
auf höchstem Niveau<br />
Managed Server Lösungen vom Profi<br />
„Ich setze auf <strong>Linux</strong> –<br />
genau wie mein Webhoster!“<br />
Der Open Source Gedanke ist mir wichtig<br />
und ich finde es großartig, dass Mittwald<br />
sich so aktiv für die Communitys einsetzt.<br />
Hinzukommt, dass Performance und Verfügbarkeit<br />
einfach stimmen und ich mich<br />
auf das 24/7-Monitoring und den kompetenten<br />
Service vollkommen verlassen kann.<br />
Ich fühle mich rundum wohl!<br />
Performance-Hungrige nutzen z. B.<br />
Managed Server Lösungen 6.0<br />
Hochwertige Server-Hardware<br />
300 % Magento-Performance<br />
Bis zu 24 Prozessorkerne<br />
Bis zu 128 GB Arbeitsspeicher<br />
Leistungsstarke Server-HDDs<br />
Hardware-RAID 1/10 (optional)<br />
Individuell konfigurierbar<br />
Bereits ab monatlich:<br />
€ 99,99*<br />
zzgl. MwSt.<br />
Alle Angebote richten sich ausschließlich an Gewerbetreibende<br />
Alle Hostinglösungen unter: www.mittwald.de<br />
Rufen Sie uns kostenlos an: 0800 / 440 3000<br />
* Alle genannten Preise verstehen sich monatlich zzgl. MwSt. Die einmalige Einrichtungsgebühr<br />
für die Managed Server 6.0 beträgt 149,- €. Die Vertragslaufzeiten und Abrechnungszeiträume<br />
betragen für die Managed Server 6.0 zwischen 12 und 36 Monate. Automatische<br />
Vertragsverlängerung um 12 Monate, wenn der Vertrag nicht mit einer Frist von<br />
30 Tagen zum Ende der jeweiligen Vertragslaufzeit gekündigt wird.<br />
www.mittwald.de
Aktuell<br />
www.linux-magazin.de Kernel-News 09/2012<br />
18<br />
Zacks Kernel-News<br />
Wie arbeitet der Maintainer der Zukunft?<br />
Der deutsche Kernelentwickler<br />
Thomas Gleixner packte ein<br />
heißes Eisen an, als er die<br />
Mailingliste fragte: „Wie gehen<br />
wir mit alteingeführten<br />
Maintainern um, die hauptsächlich<br />
ihre eigenen Anliegen<br />
verfolgen und berechtigte<br />
Kritik ignorieren?“<br />
Hierauf erwiderte Greg Kroah-<br />
Hartman: „Das wunderbare<br />
Problem, wie man einen<br />
Maintainer loswird, der nichts<br />
bringt. Eine harte Nuss. Ich<br />
glaube, eine Standardprozedur<br />
dafür gibt es nicht. Zum<br />
Glück sind die wirklich Verrückten<br />
in der Vergangenheit<br />
von selbst verschwunden.“<br />
Alan Cox dagegen verteidigt<br />
störrische Maintainer. Seiner<br />
Meinung nach kochen sie<br />
nicht ihr eigenes Süppchen,<br />
sondern tun, was sie für<br />
sachlich notwendig halten –<br />
und das sollte ein Maintainer<br />
schließlich.<br />
Als Beispiel führt Alan den<br />
umstrittenen Scheduler des <strong>Linux</strong>-Kernels<br />
an: „Ich bin überzeugt,<br />
es wäre besser für 99<br />
Prozent der Anwender, wenn<br />
Greg Kroah-Hartman hat eine Art Selbstverpflichtung für Maintainer formuliert.<br />
wir den ganzen derzeitigen<br />
Scheduler-Unsinn abschafften<br />
und ihn durch eine leicht angepasste<br />
Version von Ingos ursprünglichem<br />
Scheduler O(1)<br />
ersetzen würden.“ Daneben<br />
erkennt er aber an, dass sich<br />
manche Betreuer von <strong>Linux</strong>-<br />
Code auch um neugeborene<br />
Kinder oder berufliche Notfälle<br />
kümmern müssen.<br />
Deshalb schlägt er vor, für<br />
wichtige Bereiche des Kernels<br />
je zwei Co-Maintainer einzusetzen,<br />
die einander ergänzen<br />
und im Bedarfsfall vertreten.<br />
Dieser Vorschlag gefällt Mark<br />
Brown von Wolfson Microelectronics<br />
und dem Netapp-<br />
Entwickler Trond Myklebust.<br />
Trond fordert darüber hinaus,<br />
dass jedes eingereichte Patch<br />
zumindest begutachtet und<br />
mit dem Tag »Reviewed‐by:«<br />
versehen wird. Dave Chinner<br />
aus Australien meint, die<br />
Entwickler sollten eine Kultur<br />
etablieren, in der sie gegenseitig<br />
ihre Patches bewerten. So<br />
ließe sich die Arbeitslast der<br />
Maintainer reduzieren.<br />
Greg Kroah-Hartman startete<br />
einen neuen Thread, in dem<br />
er eine Selbstverpflichtung<br />
für Maintainer formuliert:<br />
„Als Maintainer werde ich<br />
mich bemühen, für alle mir<br />
zugesandten Patches das Folgende<br />
zu tun (außer ich bin<br />
krank oder Ähnliches): Ich<br />
werde Dein Patch innerhalb<br />
von ein bis zwei Wochen<br />
begutachten. Ich liefere eine<br />
halbwegs konstruktive Kritik<br />
Deiner Patches. Ich lasse Dich<br />
wissen, ob Dein Patch abgewiesen<br />
oder akzeptiert wurde,<br />
in welchem Zweig es gelandet<br />
ist und wann es voraussichtlich<br />
in den Zweig von Linus<br />
kommt.“<br />
Daneben bittet Greg die Entwickler<br />
darum, das Merge-<br />
Window zu berücksichtigen,<br />
wenn er hauptsächlich mit<br />
Bugfixes für die nächste Release<br />
beschäftigt ist. Frühestens<br />
nach dem ersten Release-<br />
Kandidaten von Torvalds<br />
könne er sich dann um die<br />
Patches kümmern, die sich in<br />
der Zwischenzeit angehäuft<br />
hätten.<br />
Es gab zwar keine direkten<br />
Reaktionen auf Gregs Selbstverpflichtung,<br />
doch es liegt<br />
nahe, dass sich die Maintainer<br />
an die gestiegenen Anzahl<br />
eingereichter Patches anpassen<br />
müssen. <br />
n<br />
Persönliche Versionsnummern nicht zu empfehlen<br />
Der australische Entwickler<br />
Chris Jones hat sich mit einer<br />
ungewöhnlichen Frage an die<br />
Mailingliste gewandt: Darf er<br />
für seine angepassten Kernel<br />
auch persönliche Versionsnummern<br />
vergeben? Dabei<br />
gäbe er selbstverständlich an,<br />
auf welcher offiziellen Version<br />
ein Systemkern beruhe.<br />
Greg Kroah-Hartman antwortete,<br />
im Prinzip könne Chris<br />
als Versionsnummer verwenden,<br />
was er wolle. Daneben<br />
gab er aber zu bedenken:<br />
„Wenn Du möchtest, dass<br />
andere Entwickler verstehen,<br />
von welcher Kernelversion Du<br />
sprichst, wenn Du Rat oder<br />
Unterstützung brauchst, mach<br />
es besser wie die <strong>Linux</strong>-Distributionen:<br />
Sie hängen schon<br />
lange ihre interne Nummerierung<br />
an die offizielle an.“ Ein<br />
Archlinux-Kernel auf Basis<br />
von 3.4.4 beispielsweise meldet<br />
sich auf »uname ‐r« dann<br />
als »3.4.4‐2‐ARCH«. n
Lizenz-Versäumnis<br />
Die Programmierer des Kernels<br />
haben immer wieder auch mit<br />
Lizenzfragen zu tun. Zuletzt<br />
bemerkte Matthew Garrett,<br />
dass das Unternehmen Cloudlinux<br />
sein »lve«-Modul unter<br />
proprietärer Lizenz anbot,<br />
das zuvor unter GPL stand.<br />
Das ist selbstverständlich<br />
erlaubt, doch pikanterweise<br />
spielte das Modul dem Kernel<br />
immer noch vor, es sei GPLlizenziert.<br />
So konnte es die für<br />
GPL-Code reservierten <strong>Linux</strong>-<br />
Symbole benutzen.<br />
Matthew schickte ein Patch<br />
ein, um dem Schwindel ein<br />
Ende zu bereiten. Es sorgt<br />
dafür, dass der Kernel dem<br />
Cloudlinux-Treiber die betreffenden<br />
Symbole verweigert.<br />
Außerdem nahm Greg Kroah-<br />
Hartman mit dem Hersteller<br />
Kontakt auf.<br />
Schließlich meldete sich Igor<br />
Seletskiy, CEO von Cloudlinux.<br />
Er entschuldigte sich<br />
und räumte ein, das Lizenzproblem<br />
übersehen zu haben:<br />
„Wir wollten das Modul zu<br />
Closed Source machen und<br />
werden das demnächst auch<br />
tun. Offenbar hat einer unserer<br />
Entwickler hier etwas<br />
missverstanden und die Sache<br />
falsch gemacht.“ Er bat<br />
um zwei bis drei Wochen Zeit,<br />
dann solle die GPL-Version in<br />
Form von Source-RPMs zum<br />
Download bereitstehen. n<br />
Overflow bei der Kernelentwicklung<br />
Thomas Gleixner (siehe auch<br />
die erste Meldung) fragt sich<br />
außerdem, wie die Kernelhacker<br />
mit der steigenden Zahl<br />
an eingereichten Patches fertig<br />
werden sollen. Er selbst<br />
delegiere schon möglichst viel<br />
seiner Arbeit als Maintainer<br />
an andere Entwickler, aber<br />
es gäbe einfach nicht genug<br />
qualifizierte und vertrauenswürdige<br />
Mitarbeiter.<br />
Greg Kroah-Hartman meint<br />
dazu: „Ich habe mich auch<br />
schon gefragt, ob uns jemand<br />
mit miesen Patches überschwemmt,<br />
um uns in einer<br />
Art Denial-of-Service-Attacke<br />
lahmzulegen.“ Thomas hält<br />
die Patches aber nicht für eine<br />
Attacke. Alan Cox erklärt<br />
die Situation so: „Es gibt eine<br />
kleine Zahl sehr großer Unternehmen,<br />
die viel Geld auf<br />
dem Servermarkt verdienen.<br />
Sie haben alle bestimmte<br />
Anforderungen und ihr Geld<br />
treibt die Kernelentwicklung.<br />
Das hat sowohl eine gute wie<br />
auch ein schlechte Seite. Die<br />
schlechte: Sie möchten, dass<br />
der Kernel tut, was sie wollen<br />
– jetzt sofort und ohne<br />
längerfristige Planung. Die<br />
gute Seite besteht darin, dass<br />
sie Entwickler für die Arbeit<br />
am <strong>Linux</strong>-Kernel bezahlen,<br />
die ansonsten an etwas anderem<br />
arbeiten würden.“ (Zack<br />
Brown/mhu) <br />
n<br />
Kernel-News 09/2012<br />
Aktuell<br />
www.linux-magazin.de<br />
19<br />
Kann eine<br />
Schulungseinrichtung<br />
für mehr als EINEN<br />
Themenbereich<br />
berühmt werden?<br />
Das <strong>Linux</strong>hotel ist bekannt für erstklassige Open-Source-Schulungen. In den letzten Jahren kamen Java<br />
und andere Programmiersprachen hinzu - wie immer in Kooperation mit führenden Spezialisten, und in<br />
abgeschiedener, konzentrierter, aber auch ziemlich verspielter Umgebung. Es ist so naheliegend, auch<br />
Entwicklerthemen bei den OpenSource‘lern zu lernen, weil man dort schon immer sehr „unter die<br />
Haube“ guckte und mit viel Freude intensivst arbeitet. Das weiss ein Großteil der deutschen Admins, nur<br />
unter Entwicklern hat's sich noch nicht so ganz herumgesprochen.<br />
Mehr siehe www.linuxhotel.de
Aktuell<br />
www.linux-magazin.de KDE-Akademy 09/2012<br />
20<br />
KDE-Akademy 2012 in Estlands Hauptstadt Tallinn<br />
Steiniger Weg<br />
Anwenderkritik, Probleme mit mobiler Hardware und sozialen Netzen standen im Mittelpunkt des zehnten Entwicklertreffens<br />
der KDE-Community. Dabei hat das Projekt auf seinem Weg – ganz ähnlich wie der Gastgeber<br />
Estland – aber auch einige Erfolge vorzuweisen. Text und Fotos: Markus Feilner<br />
© Markus Feilner<br />
Tallinn, Estland. Nach dem finnischen<br />
Tampere (2010) und einem Abstecher<br />
nach Berlin im vorigen Jahr zog es die<br />
KDE-Community Ende Juni ins Baltikum.<br />
Das ehemalige Ostblockland ist eins der<br />
kleinsten und jüngsten Mitglieder der<br />
Euro-Zone und verteilt gerade mal so viel<br />
Einwohner wie München (1,3 Millionen)<br />
auf etwa der Fläche der Schweiz [1].<br />
Kuriose Mischung<br />
Neben nordischen Buchtenlandschaften,<br />
ausgedehnten Kiefernwäldern, endlosen<br />
Schotterpisten und schnurgeraden Highways<br />
(Abbildung 1) findet der Besucher<br />
allerorts zahlreiche Erbschaften aus der<br />
langen sowjetisch-russischen Besatzungszeit<br />
vor (Abbildung 2), während<br />
die mittelalterliche Altstadt Tallinns von<br />
der Hanse und der Ostkolonialisierung<br />
des Deutschen Ordens geprägt ist. In den<br />
Plattenbauten, die das Weltkulturerbe am<br />
Bottnischen Meerbusen wie einen Ring<br />
umgeben, liegt auch ein Gebäude der<br />
Universität: Das IT-College von Tallinn<br />
[2], in dem die Organisatoren des KDE<br />
e.V. mehrere Räume für eine Woche belegt<br />
hatten (Abbildung 3).<br />
Die estnische Republik ist<br />
so jung wie <strong>Linux</strong><br />
Esten nennen ihr Land gerne E-Estland,<br />
analog zur E-Mail, und das nicht ohne<br />
Grund. In Tallinn hat Skype seine Firmenzentrale,<br />
im ganzen Land gibt es<br />
freies und kostenloses WLAN, auf das<br />
Straßenschilder und sogar Markierungen<br />
in den Wanderkarten der Nationalparks<br />
hinweisen.<br />
Der gläserne Bürger ist Realität, mit einem<br />
Chip im Pass buchen Esten Nahverkehrstickets<br />
und erledigen Arztbesuche<br />
oder die Steuererklärung online – der<br />
Este vertraut seinem jungen Staat. Den<br />
gibt es ja erst seit 1991, dank einer unblutigen<br />
„singenden“ Revolution [3]. Da<br />
kam die erste Keynote bei der Akademy<br />
gerade richtig: Der schwedische Anwalt<br />
Mathias Klang (Abbildung 5) rief die<br />
anwesenden Entwickler auf, der „Tivoisierung“<br />
des digitalen Alltags Einhalt zu<br />
gebieten, mit der Anspielung auf die bei<br />
amerikanischen TV-Nutzern verbreiteten<br />
Festplatten-Settop-Boxen (Tivos).<br />
Darunter versteht er aber nicht die Always-on-Mentalität,<br />
sondern die Tatsache,<br />
dass immer mehr Menschen das<br />
Internet nur als ein Konglomerat aus<br />
sozialen Webdiensten sähen, das es nur<br />
zu bedienen, aber nicht zu verstehen<br />
gelte. Wie Schafe ließen die Anwender<br />
es zu, sich von Facebook, Twitter & Co.<br />
in „eingezäunte Gärten und Datensilos“<br />
zwängen zu lassen, aus denen es kein<br />
Entrinnen mehr gebe. Das liegt Klang<br />
zufolge hauptsächlich an mangelnder Offenheit<br />
der Anbieter: Dem User bleibt es<br />
in der Regel verborgen, was hinter den<br />
Vorhängen geschieht.<br />
Tivoisierung, Melkkühe und<br />
Maschinenstürmer<br />
„Sie geben uns Entertainment, aber in<br />
Wahrheit sind wir die Melkkühe, an deren<br />
Daten sie wollen“, beklagt der schwedische<br />
Anwalt. „Aber diese Freiheit ist<br />
wertlos ohne den darunter liegenden<br />
Code.“ Die Digitalisierung habe da nicht<br />
nur Vorteile gebracht, fährt er fort: „Vor<br />
der Entwicklung des Internets hatten<br />
wir kompatible Kommunikationsformen,<br />
heute dominiert der Vendor-Lock-in.<br />
Zwar sei auch das Internet offen und<br />
frei, aber nur bis die sozialen Netzwerke<br />
kamen. Zu den Folgen bemüht er auch<br />
provozierende Worte: „Früher war ich ein<br />
narzisstischer Stalker, aber heute lebe ich<br />
das auf Facebook aus.“
KDE-Akademy 09/2012<br />
Aktuell<br />
Abbildung 1: Estland: Skandinavische Küstenorte, das hanseatisch-deutsch geprägte Tallinn und amerikanisch anmutende Highways.<br />
www.linux-magazin.de<br />
21<br />
Das Problem gehe aber noch viel tiefer.<br />
„Je mehr Technologie wir in unseren Alltag<br />
lassen, umso weniger Freiheit haben<br />
wir. Das soll keine Maschinenstürmerei<br />
wie bei den Ludditen [4] des 19. Jahrhunderts<br />
sein, ich halte das für die zwingende<br />
Konsequenz einer technologischen<br />
Entwicklung. Den nachfolgenden Generationen<br />
bringen wir nur noch bei, wie<br />
sie die Geräte zu bedienen haben, von<br />
dem darunter liegenden Code erfahren<br />
sie nichts.“ 16-Jährige, die das Internet<br />
nur noch als Schnittstelle zu Facebook<br />
und Twitter wahrnehmen, machen ihm<br />
Angst, sagt Klang. Das zu ändern sei<br />
schwierig und erfordere den Mut, den<br />
einsamen Rufer in der Wüste zu mimen.<br />
„Erzählt den Leuten, was der Anbieter<br />
mit den Daten will, wie er sie manipuliert<br />
und dass das alles in den Eulas steht!“<br />
Meritokratie-Kritik<br />
Mirko Böhm, aktiv bei KDE und FSFE,<br />
präsentierte anschließend einen durchaus<br />
kritischen Vortrag über den Zustand der<br />
Meritokratie im KDE-Projekt (Abbildung<br />
5). Die Umsetzung der „Regierungsform,<br />
bei der Amtsträger nach ihrer Leistung<br />
ausgewählt werden“[5], hatte in letzter<br />
Zeit für Unmut unter den Anwendern<br />
gesorgt, was auch die rege Diskussion<br />
im Anschluss an Böhms Vortrag belegte.<br />
Trotz „enormer Beteiligung“ (Böhm)<br />
wenden sich enttäuschte User ab, weil<br />
ihr Feedback nicht ankomme. Da sei von<br />
„den Bonzen“ im KDE-Projekt und ‐Verein<br />
die Rede, auch Forks werden offenbar<br />
in Mailinglisten diskutiert.<br />
Schuld daran hat auch die unterschiedliche<br />
Wahrnehmung der Rolle von Firmen<br />
für KDE. Enterprise-User wünschen sich<br />
eine stärkeres Engagement von Unternehmen<br />
und mehr Offenheit des Projekts<br />
für Companys, die dazu bereit sind.<br />
Mindestens genauso viele Community-<br />
Mitglieder sehen das jedoch skeptisch.<br />
Diesen Ängsten wollen Böhm und der<br />
KDE e.V. mit mehr Transparenz und Offenheit<br />
entgegentreten. Die kommende<br />
„User working group“ soll das Feedback<br />
und die Anliegen der Anwender besser in<br />
Ergebnisse münden lassen.<br />
Zwar sei KDE das „größte ausschließlich<br />
von Freiwilligen getrieben Open-<br />
Source-Projekt, das ohne Unternehmen<br />
auskommt“ und es zeichne sich durch<br />
eine „sehr erfolgreiche Geschichte aus“,<br />
aber dennoch gesteht Böhm ein, dass<br />
es zuletzt „Reibungsverluste“ gegeben<br />
habe. Die Lösung sei, die Schlagworte<br />
„Open by default, improve by default“<br />
zu verwirklichen und den „Code of Conduct“<br />
auch auf die User auszudehnen,<br />
mit Garantien und Rechten.<br />
Android-Probleme<br />
Ähnlich markante Worte fand Aaron<br />
Seigo anschließend in seinem Vortrag<br />
über die Bemühungen rund um die<br />
Plasma-Active-Tablets namens Vivaldi<br />
und das zugehörige Portal Make.Play.<br />
Live. Überraschenderweise ist die Software<br />
laut dem in Zürich lebenden Kanadier<br />
fertig, aber die Hardware macht<br />
Probleme, vor allem wegen der Quickand-Dirty-Mentalität<br />
der chinesischen<br />
Hersteller. Die hatten eine neue Version<br />
inkompatibel zu den vorherigen Treibern<br />
gemacht, weshalb Seigo seine nächste Tablet-Generation<br />
nicht vorführen konnte:<br />
„Was manche Treiberentwickler rund um<br />
den Android-Kernel bauen, ist einfach<br />
Mist (,a mess’). Und leider ist heutzutage<br />
der Userspace eng mit dem Kernelspace<br />
verwoben, auch dazu sage ich jetzt lieber<br />
nicht, was ich davon halte.“<br />
Das Ganze sei umso ärgerlicher, als<br />
laut Seigo bereits zahlreiche Firmen auf<br />
<strong>Linux</strong>-Geräte mit freier Software warten,<br />
um ihre eigenen Apps mit sicheren<br />
Plattformen zu bauen. Aber das sei kein<br />
Problem, meint Seigo. Schwerer gestalte<br />
sich, verlässliche und nachhaltig denkende<br />
Hardwarehersteller zu finden und<br />
Entwickler mit viel Motivation und Leidensfähigkeit<br />
zu gewinnen. „Wenn das<br />
System läuft, macht das Entwickeln unheimlich<br />
Spaß. Den PDF-Viewer Okular<br />
haben wir innerhalb eines Tages zu einer<br />
Qt-Touch-Anwendung, einem E-Book-<br />
Reader umgebaut!“<br />
KDE-Pim und Qt<br />
Technischer ging es auf der Akademy<br />
in den Tracks und Workshops um die<br />
Abbildung 2: Auch das ist Estland: Sozialistische Plattenbauten und russische Altlasten.
Aktuell<br />
www.linux-magazin.de KDE-Akademy 09/2012<br />
22<br />
Abbildung 3: Verkehrsschilder weisen den Weg zu einem der unzähligen freien Wifi-Hotspots Estlands. Die brauchen die Besucher der Akademy im großen Hörsaal des<br />
Estonian IT-College nicht, hier gibt es zwei Ethernet-Ports und Stromanschluss an jedem Sitz. Rechts winken die Akademy-Besucher beim traditionellen Gruppenfoto.<br />
KDE-Frameworks 5, Plasma, Wayland,<br />
die Situation bei Nokia bezüglich Qt, aber<br />
auch um die KDE-Pim-Implementierung<br />
und den Akonadi-Stack zu. Zahlreichen<br />
Problemen rund um Nepomuk, Soprano<br />
und Virtuoso ist es zu verdanken, dass<br />
es vier Jahre nach KDE 4.0 immer noch<br />
kein vollständig funktionierendes Kontact<br />
(der Groupware-Client, Abbildung 4)<br />
gibt. Das soll sich ändern: Demnächst<br />
kommt KDE SC 4.9 und im Herbst der<br />
Groupware-Server Kolab 3.0 mit Server-<br />
Side Akonadi [6]. Spätestens dann sollen<br />
alle Probleme gelöst sein.<br />
Positive Beispiele, Open<br />
Science und Egoismus<br />
Dass es aber nicht nur Probleme, sondern<br />
auch bemerkenswerte Leistungen gebe,<br />
auf die KDE zurückblicken kann, zeigte<br />
Augustin Benito Bethencourt aus dem<br />
KDE e.V. Board of Directors in seiner<br />
Keynote. Sechs Schlagworte stünden für<br />
vorbildliche Arbeit, meint der Entwickler<br />
von den Kanarischen Inseln:<br />
n Active patience: Unerschütterlicher<br />
Glauben und Bereitschaft zu warten.<br />
n Magister: KDE stellt das beste E-Learning-System.<br />
n Leadership: KDE bereitet mehr und<br />
mehr den Nährboden für ein eigenes<br />
Ökosystem an erfolgreichen, von KDElern<br />
gegründeten Firmen.<br />
n Vision: Sowohl KDE auf Tablets als<br />
auch die Edu-Plattform ziehen derzeit<br />
jede Menge interessierte Firmen aus<br />
der klassischen Wirtschaft an.<br />
n Effizienz: „Das KDE-Projekt schafft<br />
mittlerweile neue Releases in weniger<br />
als einem Tag!“<br />
n Experience Innovation: „Nach großen<br />
Veränderungen können wir endlich<br />
die coolen, innovativen Dinge angehen.<br />
Das ist enorm wichtig, wie der<br />
Fall Nokia, aber auch Yahoo oder die<br />
Ängste der Apple-Anhänger nach dem<br />
Tod von Steve Jobs zeigen. Viele Unternehmen<br />
gingen den Bach runter, als<br />
sie aufhörten innovativ zu sein.“<br />
Die Sonntags-Keynote von Will Schroeder<br />
von Kitware stand ganz im Zeichen der<br />
Wissenschaft. Immer mehr Bereiche der<br />
Forschung erkennen die Bedeutung und<br />
Nützlichkeit freier Software: „Vieles ist<br />
ohne Open-Source-Software nicht lösbar,<br />
vom High-Performance-Computing über<br />
das automatisierte Auswerten von CTund<br />
MRT-Bildern bis zum Publizieren<br />
offener Dokumente.“<br />
Als „eine Tragödie“ bezeichnete er es,<br />
dass man trotzdem bis heute extra das<br />
Attribut „Open“ zum Wissenschaftsbegriff<br />
hinzufügen müsse. Sowohl Wissenschaftler<br />
als auch die Universitäten<br />
erkennen mehr und mehr, dass die freie<br />
Publikation ihrer Ergebnisse im Web<br />
schneller, billiger und effektiver sei. Daher<br />
gelte: „Seid egoistisch – und teilt eure<br />
Ergebnisse!“<br />
Prior Art als Mittel gegen<br />
Patent-Trolle<br />
Auf dem Schlachtfeld der Patentkriege<br />
zeigt sich ein Silberstreif am Horizont:<br />
Raffi Gostanian vom Open Invention<br />
Network (OIN, Abbildung 7) rief freie<br />
Software-Entwickler auf, ihre Ideen als<br />
Online dokumente zu veröffentlichen, um<br />
so Prior Art zu schaffen und unrechtmäßige<br />
Ansprüche von Patent-Trollen<br />
abzuwehren. Als Beispiel nannte er das<br />
jüngste Patentverfahren rund um die langen<br />
Dateinamen im FAT-Dateisystem, in<br />
dem Linus Torvalds mit einem Kommentar<br />
in einer E-Mail von 1992 als Zeuge<br />
auftrat und damit weitreichende Ansprüche<br />
von Microsoft verhinderte.<br />
Abbildung 4: KDE-Anwender kennen das Problem: Kontact, Akonadi, Soprano, Virtuoso und Nepomuk verstehen<br />
sich nicht gut, Fehlermeldungen sind an der Tagesordnung.
Tel. 0 64 32 / 91 39-749<br />
Fax 0 64 32 / 91 39-711<br />
vertrieb@ico.de<br />
www.ico.de/linux<br />
SEIT 1982<br />
Innovative Computer • Zuckmayerstr. 15 • 65582 Diez<br />
GmbH<br />
GÜLTIG NUR BIS 31.08.12<br />
Konfigurieren Sie<br />
folgende Systeme mit<br />
Toshiba SAS HDDs<br />
300GB MBF230LRC SAS 148, 75*<br />
600GB MBF260LRC SAS 297, 50*<br />
Abbildung 5: „Freiheit ist wertlos ohne den darunter<br />
liegenden Code. Hört nicht auf, vor Facebook,<br />
Twitter & Co. zu warnen!“, fordert Mathias Klang.<br />
„Das ist ein perfektes Beispiel dafür,<br />
wieso es sich lohnt, Prior Art zu schaffen.<br />
Das ist nicht schwer, es bedarf nur einer<br />
Idee, einer kurzen technischen Abhandlung<br />
und der Hilfe vom OIN.“ Die Institution<br />
sorge dafür, die Dokumente auf<br />
der Website IP.com zu veröffentlichen,<br />
da diese von den Sachbearbeitern in den<br />
Patentämtern zur Suche von Prior Art<br />
benutzt werde. „Jeder von euch sollte das<br />
machen, und zwar regelmäßig, und wir<br />
helfen euch dabei!“, rief er den anwesenden<br />
Entwicklern zu (Abbildung 7).<br />
Awards, Workshops<br />
Nach dem Wochenende mit Keynotes,<br />
Vorträgen und der Verleihung der Akademy<br />
Awards teilten sich die Besucher<br />
am Montag auf die zahlreichen Workshops<br />
auf. Neben PR für Open-Source-<br />
Projekte gab es Tracks über den estnischen<br />
Personalausweis mit integrierter<br />
Smartcard, Qt- und Plasma-Programmierung,<br />
Robotertechnik, Telepathy, Phonon,<br />
die Office-Suite Calligra, Owncloud, aber<br />
auch strategische Themen wie das von<br />
Augusto Benito Bethencourt vorgestellte<br />
KDE Connect, das stabile und dauerhafte<br />
Partnerschaften mit Unternehmen<br />
fördern will.<br />
Blockaden überwinden<br />
Das KDE-Projekt scheint derzeit in einer<br />
spannenden Phase. User, Firmen, Entwickler<br />
und Frontmänner müssen sich<br />
zusammenraufen, auf die Erfolge blicken<br />
und intern wie auch extern neue Formen<br />
der Zusammenarbeit ausprobieren.<br />
Dazu traf es sich gut in einem Land, das<br />
Abbildung 6: Mirko Böhm zum Status der Meritokratie.<br />
Das KDE-Projekt hat mit Kritik von Anwendern<br />
zu kämpfen und will sich einiges einfallen lassen.<br />
dies seit über zwanzig Jahren im Schnelldurchlauf<br />
vorexerziert. Wer mehr Details<br />
über die KDE-Akademy 2012 sucht, findet<br />
sie auf der Konferenz-Webseite [7] oder<br />
in den Blogs der Entwickler [8], jede<br />
Menge Fotos gibt’s auf Flickr [9]. n<br />
Infos<br />
[1] Estland:<br />
[http:// de. wikipedia. org/ wiki/ Estland]<br />
[2] IT-College Tallinn:<br />
[http:// www. itcollege. ee/ en/ it‐college/]<br />
[3] Singende Revolution: [http:// en. wikipedia.<br />
org/ wiki/ Singing_Revolution# Estonia]<br />
[4] Luddismus:<br />
[http:// de. wikipedia. org/ wiki/ Luddismus]<br />
[5] Meritokratie:<br />
[http:// de. wikipedia. org/ wiki/ Meritokratie]<br />
[6] Kolab 3 mit Server-Side Akonadi: [http://<br />
www. linux‐magazin. de/ NEWS/ Serverseitiges<br />
‐Akonadi‐Kolab‐3‐kommt‐im‐ Herbst]<br />
[7] KDE-Akademy: [https:// akademy. kde. org]<br />
[8] KDE-Blogs: [http:// blogs. kde. org]<br />
[9] Akademy-Bilder: [http:// www. flickr. com/<br />
groups/ akademy2012/]<br />
Abbildung 7: Raffi Gostanian vom Open Invention<br />
Network hilft Entwicklern, die sich gegen Patentansprüche<br />
wappnen wollen.<br />
BALIOS R15B 1HE SERVER<br />
4 HDD SLOTS<br />
• Chenbro Chassis RM13204M2 mit 300W PSU<br />
• Intel ® Xeon ® E3-1220v2 3,10GHz Prozessor<br />
• Intel ® Servermainboard S1200BTLR<br />
• 2x 8GB DDR3 RAM, Adaptec 6405E RC<br />
inkl. Mwst. ab<br />
exkl. Mwst. ab<br />
1403, 01 1179,-<br />
Art.Nr. ybto06<br />
XANTHOS R15A 1HE SERVER<br />
4 HDD SLOTS<br />
• Chenbro Chassis RM13204M2 mit 400W PSU<br />
• 2x Intel ® Xeon ® E5-2620 2,0 GHz Prozessor<br />
• Intel ® Servermainboard S2600CP2<br />
• 8x 4GB DDR3 RAM, LSI 9260CV-4i RC<br />
inkl. Mwst. ab<br />
exkl. Mwst. ab<br />
3069, 01 2579,-<br />
Art.Nr. ybto14<br />
XANTHOS R25B 2HE SERVER<br />
6 HDD SLOTS<br />
• Chenbro Chassis RM21706M2-L mit 500W PSU<br />
• 2x Intel ® Xeon ® E5-2620 2,0 GHz Prozessor<br />
• Intel ® Servermainboard S2600CP2<br />
• 8x 4GB DDR3 RAM, LSI 9260CV-8i RC<br />
inkl. Mwst. ab<br />
exkl. Mwst. ab<br />
3320, 10 2790,-<br />
Art.Nr. ybto19<br />
Intel ® , Intel ® Logo, Intel ® Inside, Intel ® Inside Logo, Atom, Atom Inside,<br />
Xeon und Xeon Inside sind Marken der Intel Corporation in den USA und anderen<br />
Ländern. Alle Preise in Euro. * Festplattenpreise = Brutto Stückpreise<br />
Nur solange Vorrat reicht.<br />
wir liefern auch<br />
nach Österreich<br />
u. in die Schweiz
Titelthema<br />
www.linux-magazin.de Grundlagen 09/2012<br />
24<br />
Bring your own Device fordert IT-Abteilung heraus<br />
<strong>Problematische</strong> ...<br />
... <strong>Mitbringsel</strong>: Mit dem Siegeszug privater Tablets und Smartphones fällt der ei ser ne Vorhang zwischen Firmenund<br />
Privat-Computern. Das <strong>Linux</strong>-<strong>Magazin</strong> stellt sich an die Seite der vom „Bring your own Device“-Virus gebeutelten<br />
IT-Abteilungen und stellt Strate gien vor, die das Unvermeidliche erträglich machen. Ralf Spenneberg, Markus Feilner<br />
Weiterer Inhalt<br />
28 Zugang absichern<br />
Klingt genial: Endgeräten, die bestimmten<br />
Anfor de rungen nicht genügen, den<br />
Zutritt zur Firmen-IT zu sperren.<br />
32 Mobilgeräte als Thin Clients<br />
Warum das Server-based Computing mit<br />
mobilen Geräten die bessere Wahl ist.<br />
36 Mobile Device Management<br />
Das Übel an der Wurzel packen: Zentrale<br />
Management-Suiten für Mobilgeräte.<br />
40 Android absichern<br />
Viren- und Datenschutz für <strong>Linux</strong>-Geräte?<br />
Android macht's nötig, zahlreiche<br />
Hersteller möglich.<br />
BYOD – Bring your own Device! [1]. Jeder<br />
Mitarbeiter würde diese Aufforderung<br />
für Drucker oder die Kaffeemaschine als<br />
Zumutung empfinden. Bei privaten Tablets<br />
oder Smartphones dagegen fordern<br />
viele Angestellte von ihrer Firma regelrecht,<br />
diese benutzen zu können. Oft ausgehend<br />
vom iPad-besitzenden Geschäftsführer<br />
geben immer mehr Unternehmen<br />
dem Druck nach.<br />
Endgeräte zur Arbeit mitzubringen oder<br />
von zu Hause aus auf Firmendaten zuzugreifen,<br />
diese zu speichern und zu verarbeiten,<br />
galt IT-Verantwortlichen noch<br />
vor zwei, drei Jahren als inakzeptables<br />
Sicherheitsrisiko. Heute gehört es zum<br />
Alltag in modernen Unternehmen. Die<br />
Artikel im Titelschwerpunkt dieses <strong>Linux</strong>-<strong>Magazin</strong>s<br />
zeigen, welche Gefahren<br />
auf den Admin zukommen und wie er die<br />
Firmen-IT gegen die als Hölle verschrienen<br />
BYOD-Szenarien wappnen kann.<br />
Geld gespart?<br />
Für wirtschaftlich denkende Unternehmer<br />
ist es zunächst sehr verlockend: Wer<br />
den Privatgeräten der Mitarbeiter Zugang<br />
gewährt, spart Anschaffungskosten. Der<br />
Mitarbeiter ist meist zusätzlich motiviert,<br />
sich auch in seiner Freizeit mit den Daten<br />
zu beschäftigen und erreichbar zu sein.<br />
Nicht selten berichten Admins auch davon,<br />
dass Supportaufwände sinken, weil<br />
die Heimarbeiter „abends so lange probiert<br />
haben, bis es endlich geklappt hat“,<br />
wo sie früher einfach ein Trouble Ticket<br />
aufmachten. Und nicht zuletzt behandelt<br />
ein Anwender sein eigenes Gerät sicherlich<br />
pfleglicher als ein möglicherweise<br />
ungeliebtes, von der Firma zur Verfügung<br />
gestelltes Device.<br />
Deutsche Nachzügler, junge<br />
Anarchisten<br />
Regionale Unterschiede offenbart dabei<br />
eine Umfrage von Aruba Networks [2]:<br />
In Europa, dem Mittleren Osten und<br />
Asien (EMEA) gestatten bereits 69 Prozent<br />
aller Unternehmen die Nutzung privater<br />
Endgeräte in Büro und Werkstatt.<br />
Deutsche Firmen (48 Prozent) zieren sich<br />
laut Umfrage deutlich mehr.<br />
In einer ähnlichen Erhebung hat Fortinet<br />
die erste Generation der BYOD-Anwender<br />
(im Alter von 20 bis 29 Jahren) befragt<br />
[3]. Dabei kam Erschreckendes zu Tage:<br />
Mehr als 30 Prozent der Anwender missachten<br />
und verletzen Unternehmensrichtlinien<br />
wissentlich, um ihre Privatgeräte<br />
beruflich oder in einer beruflichen<br />
Umgebung zu nutzen.<br />
Hoch im Kurs steht dabei der ständige<br />
Zugang zu den großen sozialen Netzwerken.<br />
Speziell in Deutschland sehen<br />
sogar fast 60 Prozent der befragten 3800<br />
Mitarbeiter es als ihr gutes Recht an, mit<br />
ihrem privaten Gerät die Infrastruktur<br />
des Unternehmens zu nutzen. Zwei Drittel<br />
verwehren jedoch im selben Atemzug<br />
der Firma jeglichen Zugang zu ihrem<br />
privaten Endgerät. Ein effektiver Schutz<br />
potenzieller Unternehmensdaten auf den
Quelle: IBM Corporation<br />
Mobiles<br />
Endgerät<br />
Privat<br />
Dienstlich<br />
Nutzung<br />
Privat<br />
Wird nicht<br />
betrachtet<br />
Eingeschränkte<br />
Kontrolle<br />
mobilen Geräten lässt sich damit nicht<br />
zentral umsetzen (Abbildung 1).<br />
Gartner [4] hat sich außer in Industrieländern<br />
auch in den BRIC-Nationen<br />
umgehört (Brasilien, Russland, Indien,<br />
China) und dabei den größten Trend zu<br />
BYOD bei der Generation Y festgestellt,<br />
der Gruppe der heute 30-Jährigen, häufig<br />
auch als Millenials bezeichnet. Die sehen<br />
vor allem die Möglichkeiten mobiler Geräte<br />
sehr positiv und eher durch technische<br />
Probleme eingeschränkt, während<br />
in den USA und Europa vor allem rechtliche<br />
und organisatorische Probleme im<br />
Vordergrund stehen.<br />
Privates Surfen muss kein<br />
Zeitfresser sein<br />
Auf den ersten Blick scheint das Benutzen<br />
privater Endgeräte in Unternehmen<br />
– auch ohne jede Vernetzung mit der<br />
Firmen-IT – ein potenzieller Produktivitätskiller.<br />
Die Teilnahme an sozialen<br />
Netzwerken mit mehr oder weniger ständiger<br />
Kommunikation kostet Arbeitszeit,<br />
die sich doch viel besser produktiv für<br />
das Unternehmen nutzen ließe, sollte<br />
man meinen.<br />
Dem widerspricht jedoch eine Studie<br />
der Universität Melbourne [5], die das<br />
„Workplace Internet Leisure Browsing“<br />
(WILB, also das private Surfen am Arbeitsplatz)<br />
als sehr produktiv bezeichnet<br />
und eine ansteigende Konzentrationsfähigkeit<br />
nachweist. Personen, die bis zu<br />
20 Prozent ihrer Zeit mit WILB verbringen,<br />
sind bis zu 9 Prozent produktiver als<br />
andere Personen.<br />
Die Trennung ist schwer<br />
Dienstlich<br />
Fast keine<br />
Kontrolle<br />
Beste Kontrolle<br />
Abbildung 1: Eigentlich der Horror für jeden sicherheitsbewussten Admin:<br />
Auf die privaten Geräte seiner Mitarbeiter hat er keinen Zugriff, aber er soll<br />
ihnen den Zugriff auf die Ressourcen des Unternehmens gewähren.<br />
Außerdem ist die Trennung zwischen<br />
privater und geschäftlicher Nutzung<br />
nicht immer ganz einfach. Die Alwayson-Generation<br />
nutzt<br />
Facebook, E-Mail, Foren<br />
und Chats sowohl<br />
beruflich als auch<br />
privat. Reiseportale<br />
dienen zur Buchung<br />
von Urlaubs- und Geschäftsreisen,<br />
VoIP-<br />
Dienste sowohl für<br />
private wie auch geschäftliche<br />
Telefonate,<br />
ebenso Kalender- oder<br />
Filesharing-Dienste wie Dropbox oder<br />
Googles Kalender (Abbildung 2).<br />
Eine BYOD-Checkliste für<br />
den Admin<br />
Ob der sicherheitsbewusste Admin das<br />
gut findet, steht gar nicht zur Debatte.<br />
Wer den Wünschen seiner Mitarbeiter<br />
(mittlerweile reicht das BYOD-Verlangen<br />
weit über Vertrieb, Marketing und die<br />
Chefetagen hinaus) auf verantwortungsvolle<br />
Weise entsprechen will, steht vor<br />
einigen Fragen, die teilweise recht umfangreiche<br />
Überlegungen und Maßnahmen<br />
notwendig machen:<br />
n Ist es dem Anwender erlaubt, Firmendaten<br />
auf dem mobilen Gerät zu speichern?<br />
Ist dabei der Einsatz einer Verschlüsselungstechnologie<br />
notwendig?<br />
n Was passiert beim Verlust des Smartphones?<br />
Was bei einer Reparatur?<br />
n Wie soll der Zugriff auf die Server erfolgen<br />
(Apps, Browser, Remote Desktop)?<br />
n Welche mobilen Geräte will die Firmen-IT<br />
unterstützen?<br />
n Welche Strategien für die Absicherung<br />
der Infrastruktur sind notwendig<br />
(Malware-Schutz auf den mobilen<br />
Geräten, Passwortspeicherung, erweiterte<br />
Absicherung wie etwa One-Time-<br />
Passwörter)?<br />
Ein Patentrezept für alle Szenarien gibt<br />
es nicht, häufig sind Kombinationen aus<br />
den möglichen, in den Artikeln dieser<br />
Titelstrecke beschriebenen Lösungsansätzen<br />
notwendig.<br />
Viele der Strategien erinnern an die Integration<br />
privater Notebooks in die Firmen-IT,<br />
doch machen die Eigenheiten der<br />
mobilen Betriebssysteme bisweilen auch<br />
völlig neue Ansätze notwendig, weil sich<br />
das private Gerät dem Zugriff des Sicherheitsbeauftragten<br />
entzieht.<br />
5 TAGE | NÜRNBERG | DÜSSELDORF<br />
ICINGA ADVANCED<br />
3 TAGE | KÖLN<br />
4 TAGE | NÜRNBERG | DÜSSELDORF<br />
3 TAGE | NÜRNBERG | ZÜRICH<br />
OPENNEBULA<br />
OPEN SOURCE CLOUD SOLUTION<br />
2 TAGE | NÜRNBERG<br />
2 TAGE | NÜRNBERG
Titelthema<br />
www.linux-magazin.de Grundlagen 09/2012<br />
26<br />
Quelle: IBM Corporation<br />
Privat<br />
E-Mail<br />
Kalender<br />
Apps<br />
Kontakte<br />
Musik<br />
Webseiten<br />
Spiele<br />
(z.B.: Facebook, Google+, Reiseportale)<br />
Filme<br />
VoIP-Telefonie<br />
Fotos<br />
Onlinebanking<br />
Modding, Jailbreak, Rooting<br />
(...)<br />
Ist es den Mitarbeitern gestattet, Unternehmensdaten<br />
auf privaten Geräten zu<br />
speichern, so besteht bei Verlust oder<br />
Diebstahl ein ähnliches Problem wie bei<br />
Laptops oder Telefonen, die das Unternehmen<br />
zur Verfügung stellt: Nur wer die<br />
Geräte durch eine komplette Verschlüsselung<br />
ihres Datenspeichers schützen kann,<br />
beugt dem Missbrauch der Daten vor.<br />
Allerdings hat das bei einem Firmengerät<br />
letzten Endes der Admin selbst in der<br />
Hand, zumindest wenn er dem Mitarbeiter<br />
keinen Rootzugriff gewährt.<br />
Verschlüsselung und<br />
Remote Wipe<br />
Dazu kommt: Wer heute das Angebot<br />
an Endgeräten mit Blick auf eingebaute<br />
Verschlüsselung durchforstet, wird nur<br />
selten fündig. Lediglich das abgekündigte<br />
Symbian, RIMs Blackberrys, I-OS<br />
und Android (beide ab Version 4) können<br />
damit aufwarten. Speziell Apple hat sich<br />
aber dabei bereits einige haarsträubende<br />
Patzer erlaubt [6], und nach einem Jailbreak<br />
ist ein Knacken der PIN und damit<br />
die Entschlüsselung für einen Angreifer<br />
leicht zu bewerkstelligen.<br />
Ähnliche Probleme entstehen auch, wenn<br />
der Mitarbeiter sein Recht wahrnehmen<br />
will, das private Gerät weiterzugeben, zu<br />
verschenken oder zu verkaufen, weil der<br />
nächste Besitzer (oder Anwender) dann<br />
unter Umständen die Daten der Firma<br />
auslesen kann.<br />
Geschäftlich<br />
CRM<br />
ERP<br />
DMS<br />
Konferenzsoftware<br />
Reporting und Analysen<br />
Alerting und Monitoring<br />
Groupware<br />
(...)<br />
Abbildung 2: Private und geschäftliche Aktivitäten in modernen Berufen überschneiden sich nicht nur,<br />
sondern es ist in vielen Fällen schlicht unmöglich, sie voneinander zu trennen, etwa wenn der Mitarbeiter mit<br />
seinem privaten Facebook-Account Firmenkunden betreut.<br />
Selbst die von vielen Herstellern passender<br />
Remote-Wartungssoftware beworbene<br />
Funktion der Fernlöschung (Remote<br />
Wipe) ist nicht ausreichend, um die Daten<br />
sinnvoll zu schützen. In der Regel<br />
muss der neue Benutzer (Dieb, Finder ...)<br />
lediglich die SIM-Karte entfernen – und<br />
schon kommt die SMS mit dem Löschbefehl<br />
nicht mehr an. Noch bessere Karten<br />
hat ein Dieb, wenn das Smartphone noch<br />
läuft und der Anwender sträflicherweise<br />
kein oder nur ein unsicheres Passwort<br />
oder eine allzu simple Geste gesetzt hat.<br />
Handy defekt? Vorsicht!<br />
Auch das Einsenden eines defekten Geräts<br />
im Reklamationsfall mag hier ein<br />
Problem darstellen. In funktionsuntüchtigen<br />
Geräten lassen sich die Daten vorher<br />
nicht löschen. Da hilft tatsächlich nur<br />
eine Verschlüsselung aller Daten mit einer<br />
geheimen Passphrase, die der Anwender<br />
bei jedem Start des Geräts eingeben<br />
muss – für viele Mitarbeiter eine umständliche<br />
und unbeliebte Erschwernis,<br />
die sicherlich auch mit den Erwartungen<br />
der Anwender kollidiert – zumindest den<br />
60 Prozent, die keine Firmensoftware auf<br />
dem Handy wollen.<br />
Ein weiteres Problem ist das Wiederherstellen<br />
bei Verlust oder Defekt. Speichert<br />
der Anwender bestimmte Daten nur auf<br />
seinem eigenen Endgerät, sind diese bei<br />
einem Hardware-Ausfall verloren. Er ist<br />
selbst für die Sicherung der Daten verantwortlich,<br />
die aber nicht überall ohne<br />
Weiteres möglich ist. Android erlaubt beispielsweise<br />
erst ab Version 4 eine Komplettsicherung<br />
aller Daten.<br />
Geräte-Zoo und Tethering<br />
Überhaupt erschwert der Zoo an Geräten<br />
die Wahl eines sinnvollen Weges. Mit<br />
BYOD nutzen Anwender beliebige Geräte<br />
bei unterschiedlichstem Softwarestand<br />
und Patchlevel – nicht ganz freiwillig<br />
zwar, aber doch unvermeidbar [6].<br />
Ob Android 2.3, 4.0, 4.03 oder 4.1: Alle<br />
funktionieren unterschiedlich und benötigen<br />
möglicherweise spezifische Anpassungen,<br />
wenn eine native Unterstützung<br />
durch lokale Apps gewünscht ist.<br />
Ganz andere Probleme treten auf, wenn<br />
der Mitarbeiter sein Smartphone ohne<br />
Wissen der IT-Administration in den<br />
Tethering-Modus versetzt und seinen<br />
UMTS-Zugang als WLAN-Accesspoint<br />
bereitstellt (Abbildung 3). Viele Anwender<br />
nutzen diese Funktion, um ihre<br />
Smartphone-Datenflat auch am Laptop<br />
zu nutzen.<br />
Beim Firewall-Administrator sorgt diese<br />
Vorstellung für blankes Entsetzen: Nun<br />
können weitere Systeme des Unternehmens<br />
direkt aufs Web zugreifen, ohne<br />
dass die teure und gut gepflegte Firmen-<br />
Firewall schützend eingreift. Auch die<br />
zentralen IPS- und Antimalware-Systeme<br />
sind hier blind.<br />
Goldene Mitte: Die Firma<br />
sponsert die Hardware<br />
Normalerweise stellen Unternehmen den<br />
Mitarbeitern notwendige Betriebsmittel<br />
kostenfrei zur Verfügung. Doch BYOD<br />
kehrt dies um, der Mitarbeiter stellt das<br />
Betriebsmittel dem Unternehmen zur<br />
Verfügung. Manche Unternehmen bezuschussen<br />
sogar die Geräte, IBM testet in<br />
einigen Ländern ein „Geld statt Device“-<br />
Modell für Smartphones, Tablets und<br />
Notebooks.<br />
In solchen Fällen muss der Mitarbeiter<br />
aufpassen und gegebenenfalls seinen<br />
Steuerberater konsultieren (Stichwort:<br />
geldwerter Vorteil). Und bei einem Verlust<br />
oder Schaden ist auch nur er in der<br />
Verantwortung. Er hat sich um Wartung<br />
und Reparatur zu kümmern und für ein<br />
eventuell notwendiges Leihgerät während
einer Reparatur zu sorgen. Die Lösung<br />
für viele dieser Fragen wäre: BYOD verbieten<br />
– nur dies gegen den Widerstand<br />
der Mitarbeiter und der Geschäftsleitung<br />
durchzusetzen wird der IT-Abteilung<br />
nicht gelingen.<br />
Grundlagen 09/2012<br />
Titelthema<br />
BYOD lässt sich nicht mehr<br />
verbieten<br />
Eher wahrscheinlich scheint, dass sich<br />
auf dem derzeit boomenden Markt der<br />
Software-Anbieter für das BYOD-Problem<br />
Lösungen für jede Kragenweite finden.<br />
Das reicht vom zentralen Management<br />
über die lokale Malware Protection bis<br />
hin zu ausgefuchsten Zugriffsbeschränkungen<br />
und Identifikationsmodellen. Zu<br />
jedem dieser Themen findet sich ein Artikel<br />
auf den folgenden Seiten.<br />
Einen beachtlichen Teil der Probleme<br />
verursacht das Speichern von Unternehmensdaten<br />
auf den privaten Geräten. Wer<br />
darauf verzichten kann oder will, setzt auf<br />
Web-basierte oder Remote-Desktop-Verfahren<br />
(siehe Artikel in diesem Schwerpunkt).<br />
Erfolgt der Zugriff mit Hilfe von<br />
Browsern und Webapplikationen, werden<br />
die Daten vielleicht noch lokal gecacht,<br />
aber nicht dauerhaft gespeichert. Als positiven<br />
Nebeneffekt gibt es eine identische<br />
Benutzerschnittstelle für alle Anwender,<br />
unabhängig vom Device.<br />
Web-basierte Ansätze sind<br />
zukunftssicher<br />
Der Markt für BYOD-Sicherheitslösungen<br />
wird in den nächsten Jahren stark expandieren.<br />
Rechtlich und organisatorisch<br />
wird es dabei immer ein Problem bleiben,<br />
die privaten Endgeräte der Mitarbeiter<br />
ausreichend zu kontrollieren und<br />
zu überwachen. Der allgemeine Tenor<br />
der Empfehlungen für größere Unternehmen<br />
lautet daher: „Unterstützen Sie nicht<br />
BYOD, sondern schaffen Sie die Geräte<br />
für Ihre Mitarbeiter selbst an. Das Risiko<br />
ist die Ersparnis von einigen Hundert<br />
Euro je Mitarbeiter nicht Wert“, wie es<br />
Branchengrößen (hier IBM) empfehlen.<br />
Das jedoch ist bei den Mitarbeitern nicht<br />
sonderlich beliebt.<br />
Gartner geht davon aus, dass BYOD ein<br />
nicht abwendbarer Trend ist und die Unternehmen<br />
ihn in Zukunft unterstützen<br />
müssen [4]. Hierbei sind ein frühzeitiger<br />
Abbildung 3: Das Smartphone dient als Einfallstor für Viren, Malware und Angreifer. Wenn der unvorsichtige<br />
Mitarbeiter es als UMTS-Hotspot nutzt und seinen Laptop oder die seiner Kollegen darüber mit dem Internet<br />
verbindet, sind alle Schutzmechanismen der IT-Abteilung ausgehebelt.<br />
Wechsel auf Web-basierte Schnittstellen<br />
und eine Desktop-Virtualisierung vorteilhaft.<br />
Doch nicht für alle Einsatzzwecke<br />
eignen sich die Browser-Frontends. Wer<br />
alte, vielleicht von lokalen Dienstleistern<br />
entwickelte Branchensoftware im Einsatz<br />
hat, kann ein Lied davon singen. Das<br />
größte Potenzial für eine dauerhafte Lösung<br />
hat sicherlich der Umstieg auf Webbasierte<br />
Lösungen.<br />
Anlass zur Hoffnung bietet auch eine<br />
weitere Entwicklung, nämlich die Konsolidierung<br />
der typischen BYOD-Geräte.<br />
Aktuell wünschen die meisten Anwender<br />
lediglich Android- oder I-OS-basierte<br />
Geräte. Symbian, Blackberry und Web<br />
OS haben ihre Popularität eingebüßt, ob<br />
Windows 8, Firefox OS [9], Tizen [10],<br />
Plasma Active [11] oder Jolla [12] in<br />
die Lücke stoßen, ist nicht ausgemacht.<br />
Windows 8 kann immerhin erstmals das<br />
Gerät komplett verschlüsseln, sodass der<br />
Datenschützer ruhiger schlafen kann. n<br />
Infos<br />
[1] BYOD: [http:// de. wikipedia. org/ wiki/BYOD]<br />
[2] Umfrage von Aruba Networks:<br />
[http:// www. funkschau. de/<br />
mobile‐solutions/ know‐how/ article/ 89263/<br />
0/ Aruba_Networks_EMEA_setzt_auf_<br />
BYOD_‐_trotz_Sicherheitsbedenken/]<br />
[3] Umfrage von Fortinet: [http:// www.<br />
computerwoche. de/ security/ 2516677/]<br />
[4] Gartner-Studie [http:// www. gartner. com/<br />
it/ page. jsp? id=2048617]<br />
[5] WILB-Umfrage der Universität Melbourne:<br />
[http://archive.uninews.unimelb.edu.au/<br />
view-58003.html]<br />
[6] iPhone-Verschlüsselung gehackt:<br />
[http:// www. heise. de/ ix/ meldung/ Hacker<br />
‐iPhone‐Verschluesselung‐ist‐ein<br />
‐Placebo‐7531. html],<br />
[http:// www. heise. de/ security/ meldung/ Lu<br />
ecke‐in‐Datenverschluesselung‐des<br />
‐iPhones‐1007818. html]<br />
[7] iPhone-Sperre nutzlos: [http:// www. heise.<br />
de/ security/ meldung/ iPhone‐Sperre<br />
‐nahezu‐nutzlos‐1270786. html]<br />
[8] Ulrich Bantle, „Rauf zum Gipfel“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 02/12, S. 48<br />
[9] Firefox OS: [https://wiki.mozilla.org/B2G]<br />
[10] Meego-Nachfolger Tizen:<br />
[http:// www. linux‐magazin. de/ NEWS/ Aus<br />
‐fuer‐Meego‐der‐Nachfolger‐heisst‐Tizen]<br />
[11] Jan Kleinert, „Nette Geste“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 10/11, S. 66<br />
[12] Jolla: [http:// www. linux‐magazin. de/<br />
NEWS/ Ex‐Nokia‐Mitarbeiter‐starten<br />
‐Meego‐Firma‐Jolla]<br />
Der Autor<br />
Ralf Spenneberg arbeitet als<br />
freier Unix/<strong>Linux</strong>-Trainer, Berater<br />
und Autor. Mit seinem<br />
Unternehmen Open Source<br />
Training Ralf Spenneberg<br />
führt er Schulungen und Beratungen<br />
durch. Vor wenigen Wochen erschien<br />
sein neues Buch „KVM für die Server-Virtualisierung“,<br />
das er gemeinsam mit Michael Kofler<br />
verfasst hat.<br />
© drubig-photo, Fotolia<br />
www.linux-magazin.de<br />
27
Titelthema<br />
www.linux-magazin.de Zugangsschutz 09/2012<br />
28<br />
BYOD – Schutz beim Zugang zum internen Netzwerk<br />
Einlass nach Maßgabe<br />
Endgeräten und Benutzern, die feingranular konfigurierbaren Anforderungen nicht genügen, den Zutritt zur<br />
Firmen-IT ganz oder teilweise zu sperren, klingt nach einer genialen Lösung. Außerdem entzieht sie sich den<br />
Widrigkeiten des rasanten Gerätemarkts. Martin Kuppinger, Jan Kleinert<br />
© Joernemann, photocase.com<br />
Bring Your Own Device ist keineswegs<br />
nur ein Thema von neuen mobilen Endgeräten.<br />
Es umfasst alle Systeme, die das<br />
Unternehmen nicht beschafft hat und<br />
die nicht vollständig der Kontrolle der<br />
Unternehmens-IT unterstehen. Es geht<br />
also nicht nur um Smartphones und Tablets,<br />
sondern auch um die Notebooks<br />
von externen Mitarbeitern oder Wirtschaftsprüfern<br />
und um die Desktop-PCs,<br />
die Mitarbeitern für die Arbeit im Home-<br />
Office nutzen.<br />
Die Herausforderung wächst einerseits<br />
mit der Zahl und Vielfalt von Geräten.<br />
Andererseits verhalten sich Mitarbeiter<br />
auch mobiler, sodass sich die Nutzungsformen<br />
von IT-Systemen verändern. Der<br />
Spagat zwischen der Forderung von Mitarbeitern<br />
auf allen Ebenen, neuartige<br />
Endgeräte zu verwenden, auf der einen<br />
Seite und dem Interesse des Unternehmens,<br />
die Sicherheit von Informationen,<br />
Systemen und Netzwerken zu gewährleisten,<br />
ist ein schwieriger.<br />
Während das Mobile Device Management<br />
versucht, die Engeräte sicher(er) zu gestalten<br />
und damit ein sich schnell bewegendes<br />
Ziel zu treffen, beschreibt der<br />
folgende Artikel gewissermaßen den gegenteiligen<br />
Ansatz. Der betrachtet mitgebrachte<br />
Geräte als potenziell unsicher<br />
und trägt diesem Umstand beim Zugang<br />
zur Unternehmens-IT Rechnung. Es<br />
spricht einiges dafür, beim Schutz von<br />
Informationen sich strategisch dem Wettlauf<br />
– und Hinterherlaufen – mit den<br />
Geräteanbietern und deren hoher Innovationsgeschwindigkeit<br />
zu entziehen.<br />
Der BYOD-Besitzer sieht sich damit einer<br />
Zugriffsrechte-Beschränkung gegen über,<br />
die passend zu seinen Aufgaben und passend<br />
zu Art und Sicherheitsniveau sei nes<br />
persönlichen Geräts unterschiedliche<br />
Teile der Unternehmens-IT zugänglich<br />
macht oder sperrt. Je nach Rolle reicht<br />
das von einem völligen Ausschluss mit<br />
Ausnahme des Internetzugriffs (Gast)<br />
über Intranet und Mail (Mitarbeiter) bis<br />
hin zu Businessapplikationen mit unternehmenskritischen<br />
Daten (oberes Management<br />
mit Geräten, die der Kontrolle<br />
der Unternehmens-IT unterliegen).<br />
Die Firma muss dafür zu allererst ein<br />
durchgängiges und flexibel handhabbares<br />
Identity-Management betreiben, in<br />
der Regel fußt es auf einem Verzeichnisdienst<br />
wie Active Directory, LDAP oder<br />
E-Directory. Ein Provisionierungsmodul<br />
erteilt Benutzern automatisch und aufgrund<br />
ihrer jeweiligen Rolle in der Organisation<br />
individuelle Berechtigungen. Zur<br />
BYOD-Lösung fehlt „nur noch“ die logische<br />
Verbindung zwischen nachgefragten<br />
Zugangspunkten, meist Ethernet, WLAN<br />
und VPN, und deren Zugangskontrolle.<br />
Mobiles IAM –<br />
ein hoher Anspruch<br />
Praktisch betrachtet kommen hier Produkte<br />
von Cisco ([1], Abbildung 1),<br />
Aruba Networks [2] oder Enterasys Networks<br />
[3] ins Spiel, die versuchen, den<br />
Schutz auf der Ebene des Netzwerks zu<br />
realisieren. Letztes beleuchtet und bewertet<br />
dieser Artikel beispielhaft, da es<br />
für diese Art Produkte recht typisch und<br />
einigermaßen preisgünstig ist.<br />
Enterasys, ein Unternehmen von Siemens<br />
Enterprise Communications, kategorisiert<br />
seine BYOD-Appliance als „Mobile IAM“<br />
– ein sehr hoch gesteckt Anspruch. Denn<br />
ein „Identity und Access Management“<br />
umfasst alle Funktionen zum Verwalten<br />
von Identitäten und Zugriffsberechtigungen.<br />
Dazu gehören Verzeichnisdienste,<br />
die Provisionierung auf andere Systeme
www.linux-magazin.de<br />
© Cisco<br />
Zugangsschutz 09/2012<br />
Titelthema<br />
29<br />
Abbildung 1: Cisco Identity Services Engine (ISE 1.1MR) ist ähnlich wie das Enterasys-Produkt eine kontextsensitive Identitätsplattform, die in Echtzeit Informationen<br />
vom Netzwerk, Benutzern und Geräten sammelt. Anhand derer fallen Verwaltungsentscheidungen für die gesamte Infrastruktur.<br />
und Directories (Änderungen verteilen),<br />
der Schutz vor dem Missbrauch durch<br />
privilegierte Benutzer, Single Sign-On<br />
und ein dynamisches, granulares Autorisierungsmanagement<br />
beispielsweise auf<br />
Basis des Standards XACML („Extensible<br />
Access Control Markup Language“ für<br />
Autorisierungs-Policies).<br />
Attribute als Grundlage<br />
Geliefert bekommt der Enterasys-Kunde<br />
in erster Linie eine Art kontext-sensitives<br />
Autorisierungssystem, das für IAM-Verhältnisse<br />
recht grobkörnig arbeitet. Es<br />
trifft Entscheidungen darüber, ob und<br />
worauf der Benutzer Zugriff erhält, anhand<br />
von Informationen über das Device<br />
(agentenlos) und über den Benutzer. Weitere<br />
Einflussfaktoren – Enterasys nennt sie<br />
Attribute – sind der Ort des Endgeräts sowie<br />
der Zugangspunkt (WLAN, Ethernet,<br />
VPN), die Zeit, Informationen über den<br />
„System Health Status“, also den korrekten<br />
und sicheren Konfigurationszustand,<br />
oder Rolleninformationen.<br />
Diese Attribute – es sind bis zu 50 –<br />
bezieht die Software von verschiedenen<br />
Quellen: Dem Gerät selbst, LDAP-<br />
Servern, vorhandenene „Next Generation<br />
Firewalls“ (NGFW) von Palo Alto<br />
Systems oder durch die Integration mit<br />
MDM-Lösungen verschiedener Anbieter<br />
(Mobile Device Management, siehe<br />
MDM-Artikel hier im Schwerpunkt). Der<br />
im System enthaltene Radius-Server entscheidet<br />
auf dieser Basis und mit einem<br />
gut per GUI definierbare Regelwerk über<br />
den Netzwerkzugang von Geräten, auch<br />
bezüglich der Bandbreite, die das Device<br />
zur Verfügung gestellt bekommt. Aber<br />
schon um Einschränkungen auch auf Anwendungsebene<br />
zu realisieren, bedarf es<br />
einer NGFW-Lösung von Palo Alto.<br />
Letztlich ist der Ansatz ein Konzept der<br />
Perimeter-Sicherheit, also für den Schutz<br />
beim Zugang von außen in ein geschütztes<br />
Netzwerk. Eine wirklich granulare<br />
Steuerung von Zugriffen, die pro Anwendung<br />
im Detail entscheidet, bei welchen<br />
Kontextinformationen welche Zugriffe<br />
durch wen zulässig sind, fehlt jedoch.<br />
Damit ließe sich beispielsweise entscheiden,<br />
dass bestimmte Finanztransaktionen<br />
in SAP-Systemen nur mit sicheren<br />
Geräten und von sicheren Standorten aus<br />
erlaubt sind. Ebenso fehlt ein Ansatz, der<br />
steuert, welche Dokumente – basierend<br />
auf einer Klassifizierung oder anderen<br />
Kriterien – überhaupt an mobile Endgeräte<br />
weitergegeben werden dürfen.<br />
Es gibt aber durchaus auch ein paar interessante<br />
Funktionen. So übernimmt<br />
Enterasys auf Wunsch Benutzer aus<br />
bestehenden Verzeichnisdiensten und<br />
authentifiziert sie über Radius. Die Software<br />
kooperiert zudem mit diversen im<br />
Ausbildungssektor gängigen Registrierungsdiensten<br />
und hat eine Webauthentifizierung,<br />
Schnittstellen zu Kerberos und<br />
anderen Protokollen.<br />
Kann ein Schutz per<br />
Netzwerk funktionieren?<br />
Stellt sich nun die Frage ob eine über<br />
Richtlinien gesteuerte Perimeter-Sicherheit<br />
wie die Enterasys dazu taugt, die<br />
BYOD-Problematik im Großen und Ganzen<br />
zu lösen. Zum einen existiert der<br />
Perimeter dieser Lesart heute nicht mehr<br />
vollumfänglich. Gerade betrieblich genutzte<br />
Clouddienste oder externe Mailserver<br />
höhlen das Schutzkonzept für autonome<br />
Geräte aus. Immer öfter lässt es<br />
überhaupt nichts mehr definieren.<br />
Eine Schutzebene realisiert der Admin,<br />
indem er den Datenverkehr zwingt,<br />
über das Mobile-IAM-Gerät zu laufen,<br />
beispielsweise weil die Zugangskontrolle<br />
es verlangt. Wohl deshalb tauchen unter<br />
den Erfolgsbeispielen des Herstellers der<br />
Healthcare-Bereich (US-Kliniken) und<br />
die Lehre (Universitäten) besonders oft<br />
auf. Deren Infrastruktur muss tatsächlich<br />
viele Connects wechselnder Endgeräte<br />
bewältigen, im Gegenzug sind die an-<br />
Enterasys Mobile IAM<br />
Hersteller: Enterasys Networks [3]<br />
Lieferumfang: Hardware- oder Software-<br />
Appliance,<br />
Software: <strong>Linux</strong>-basiert (Quellcode laut Hersteller<br />
frei), Radius, Konnektoren zu gängigen<br />
Verzeichnisdiensten, grafische Adminoberfläche,<br />
die zudem in einer Tabelle alle konnektierten<br />
Geräte und deren Status anzeigt.<br />
Preise: Kleinste Variante 21 000 US-Dollar als<br />
virtuelle ESX-Appliance für 3000 Endgeräte<br />
(Zählung über 24 Stunden, erfasst auch abgewiesene<br />
Geräte von Passanten). 24 000 Dollar<br />
als Hardware-Appliance. Produkt ab dem<br />
zweiten Halbjahr 2012 lieferbar.<br />
Support: Jährliche Maintenance kostet 20<br />
Pro zent des Kaufpreises. Professional Services<br />
ab 22 000 US-Dollar. Aufwandsunabhängige<br />
Pauschalen für alle Anpassungsarbeiten<br />
an die vorhandene Infrastruktur.
Titelthema<br />
www.linux-magazin.de Zugangsschutz 09/2012<br />
30<br />
Abbildung 2: Die Eckpunkte von Mobile IAM im Vergleich zu denen gängiger MSM-Lösungen.<br />
gebotenen Dienste nicht sehr zahlreich<br />
und simpel (zu kontrollieren). In der IT-<br />
Struktur der meisten Unternehmen sieht<br />
das aber komplett anders aus, sodass<br />
es fraglich ist, ob man die wirklich kritischen<br />
Herausforderungen damit abgedeckt<br />
bekommt.<br />
Das bewusste Abgrenzen vom Mobile<br />
Device Management ist beim Mobile-IAM-<br />
Ansatz Konzept (siehe Abbildung 2),<br />
lässt den Endgeräten aber auch Raum für<br />
destruktives Verhalten. Schädliche („Ma-<br />
© Enterasys Networks<br />
licious“) Apps interessiert Enterasys<br />
nicht, weil das Device konzeptbedingt<br />
nicht im Fokus ist und die Kommunikation<br />
zwischen dem Gerät und solchen<br />
Apps erstmal keinen Berührungspunkt<br />
mit dem Unternehmensnetzwerk hat –<br />
erst wenn Angriffe vom Endgerät auf das<br />
Netzwerk ausgehen, kann ein vorhandenes<br />
Intrusion Detection System dies merken<br />
und als Attribut in Mobile IAM Eingang<br />
finden. Ob und wie eventuell auf<br />
den mobilen Endgeräten gespeicherte unternehmensnahe<br />
Informationen zu schützen<br />
sind, bleibt auch außen vor.<br />
Es bleiben Lücken<br />
Wer die Realität mit den Marketing-Versprechungen<br />
vergleicht, entdeckt klaffende<br />
Lücken. Das betrifft sowohl das<br />
Thema „BYOD Done Right“ – das hat sich<br />
Enterasys Networks sogar als Handelsmarke<br />
gesichert – als auch das Thema<br />
IAM. Beides bedingt ein funktionierendes<br />
Identity Management, dessen Anbindung<br />
aber, von der Authentifizierung abgesehen,<br />
eher dürftig ausfällt.<br />
Das heißt nicht, dass Enterasys Mobile<br />
IAM keinerlei Sinn ergibt. In manchen<br />
Szenarien – die vergleichsweise offenen<br />
Netzwerken in der Lehre gehören dazu<br />
– reicht das Schutzkonzept aus. Auch<br />
in Unternehmen, die wesentliche IT-<br />
Funktionen noch on-premise abwickeln,<br />
oder für den Zugriff auf weniger sensitive<br />
Bereiche von Unternehmensnetzwerken<br />
lohnt es, das Angebot von Enterasys zu<br />
prüfen. In allen anderen Fällen dagegen<br />
werden Zutrittskontrollen dieser Art dem<br />
BYOD-Problem nicht gerecht – und IAM-<br />
Anforderungen sowieso nur zum Teil.<br />
Ein Mix als Ausweg<br />
BYOD bleibt selbst nach ausführlicher<br />
Betrachtung ein komplexes Thema. Die<br />
Mogelpackungen mit BYOD<br />
Auch wenn Anbieter wie Cisco, Aruba oder Enterasys<br />
nicht jede beworbene Eigenschaft ihrer<br />
BYOD-Produkte umfassend und zur allseitigen<br />
Zufriedenheit implementiert haben, bekommen<br />
Kunden doch etwas in Haus gestellt, das einen<br />
mehr oder minder schützenden Schirm über die<br />
gesamte Firmen-IT breitet. Der Leidensdruck<br />
vieler Anwender einerseits und der Hype um<br />
das Thema problematische <strong>Mitbringsel</strong> andererseits,<br />
ruft offenbar auch das Marketing von<br />
Anbieterfirmen auf den Plan, über dessen Lauterkeit<br />
Zweifel berechtigt sind. Die kleben auf<br />
den kleinsten Zugriffsschutz das Pickerl „Löst<br />
Ihr BYOD-Problem“.<br />
Ein Beispiel aus einer Pressemitteilung: „Der<br />
Freiburger Softwarehersteller United Planet hat<br />
eine neue Softwarelösung veröffentlicht, die<br />
den IT-Verantwortlichen eine strukturierte Vorgehensweise<br />
beim Thema BYOD ermöglicht. […]<br />
Anhand der Angaben zu Hersteller, Modell, Betriebssystem<br />
und Version wird sofort eine Sicherheitseinstufung<br />
angezeigt. Nach Wahl der<br />
ge wünschten Dienste […] erhält der Mitarbeiter<br />
ein Dokument zu Sicherheit und Datenschutz<br />
an gezeigt, das er lesen und bestätigen muss.<br />
Sollte das Gerät abhandenkommen, kann der<br />
Abbildung 3: OS-Fingerprinting aus der Klamottenkiste<br />
– denn hier entscheiden die Besitzer von<br />
Geräten selbst, was sie auf dem Firmenserver tun<br />
dürfen und womit.<br />
Zu griff auf sensible Daten unterbunden werden.<br />
Auf diese Weise erhöht die Applikation die<br />
Sicher heit und vereinfacht das Clientmanagement<br />
privater Devices. Indem die Nutzung privater<br />
Geräte in sichere und transparente Bahnen<br />
gelenkt wird, können die Unternehmen künftig<br />
von den Vorzügen von BYOD profitieren.“<br />
Die „smarte App von United Planet“ kostet<br />
gerade mal 100 Euro. Wer beim Anbieter nachbohrt<br />
und die Mitteilung anhand der gesammelten<br />
Erkenntnisse abermals liest, erkennt,<br />
dass die Server-App allein den Zugang zum<br />
Hauptprodukt des Unternehmens, einem Intranetportal,<br />
reguliert. Der Zugriff auf den Rest<br />
der Firmen-IT ändert sich nicht. Schlimmer<br />
noch: Die Sicherheitseinstufung des Mobilgerätes,<br />
die von Gerätetyp, Betriebssystem und<br />
Nutzungsabsicht abhängt, beruht rein auf den<br />
Angaben des Gerätebesitzers (Abbildung 3). Im<br />
Kern handelt es sich um eine primitive Inventarisierungsfunktion<br />
mit Login-Anbindung und<br />
Benutzer-Ermahnungsgenerator.
theoretische Ideallösung, Informationen<br />
überall dort zu schützen, wo sie entstehen,<br />
transportiert werden und lagern,<br />
scheitert mangels geeigneter Lösungen.<br />
Das Konzept des Information Rights Management<br />
(IRM) erlaubt zwar, Daten bei<br />
der Speicherung und beim Transfer zu<br />
verschlüsseln und sie nur mit Anwendungen<br />
zu bearbeiten, die die definierten<br />
Be rechtigungen durchsetzen. Nur: Für<br />
mobile Endgeräte fehlt es an praktischer<br />
Un terstützung. Dazu kommen die geringe<br />
Si cherheit der Geräte und deren schwache<br />
Authentifizierungsverfahren.<br />
Am Ende reift die Erkenntnis, dass auch<br />
ein ambitioniert implementierter Schutz<br />
auf der Ebene des Netzwerks nicht die<br />
Löcher schließt, die mitgebrachte Endgeräte<br />
reißen. Deshalb muss man bei den<br />
Wertversprechen von Herstellern („Mobile<br />
IAM“) vorsichtig sein und analysieren,<br />
welche Anforderungen es im eigenen<br />
Unternehmen gibt und welche Produkteigenschaften<br />
dem entgegenstehen.<br />
Denkbar ist es, mit einer individuellen<br />
Ri sikoanalyse zu beginnen. Anhand derer<br />
lässt sich ein Mix bilden aus bestehenden<br />
Lösungen wie Firewalls, den unternehmensweiten<br />
IAM-Lösungen, IPS- und IDS-<br />
Systemen sowie anderen Sicherheitskomponenten<br />
und aus neuen Ansätzen wie<br />
MDM, virtuellen Desktops und Webapplikationen<br />
(siehe Thin-Client-Artikel) oder<br />
eben Policy-basierten Schutzmechanismen<br />
wie Enterasys Mobile IAM.<br />
Dazu gehören aber auch Vereinbarungen<br />
mit den Nutzern und deren Information<br />
Der Autor<br />
Martin Kuppinger ist unter anderem<br />
als Fachjournalist und<br />
Buchautor tätig. Er hat mehr<br />
als 50 IT-Fachbücher und unzählige<br />
Fachartikel verfasst.<br />
Zu seinem Themenspektrum<br />
gehören neben der Informationssicherheit auch<br />
Cloud Computing und Betriebssysteme.<br />
über mögliche Risiken, Einschränkungen<br />
für den Zugriff auf besonders sensitive<br />
Systeme. Wer ein solches Setup<br />
noch um sichere verschlüsselte Speicher<br />
auf den Mobilgeräten und eine starke<br />
Authentifizierung, beispielsweise mit<br />
Einmal-Kennwörtern, unter Umständen<br />
auch um spezielle Apps anstelle der Standardprogramme<br />
ergänzt, erreicht definitiv<br />
ein höheres, vielleicht sogar ein hohes<br />
Maß an Sicherheit. <br />
n<br />
Infos<br />
[1] Cisco Identity Services Engine (ISE):<br />
[http:// www. cisco. com/ web/ DE/ products/<br />
security/ cisco_ise. html]<br />
[2] Aruba Networks:<br />
[http:// www. arubanetworks. com/<br />
solutions/ bring‐your‐own‐device/]<br />
[3] Enterasys Mobile IAM:<br />
[http:// www. onefabric. net/ byod/]<br />
[4] BYOD-App von United Planet:<br />
[http:// www. intrexx. com/ byod]<br />
Zugangsschutz 09/2012<br />
Titelthema<br />
www.linux-magazin.de<br />
31<br />
MAGAZIN<br />
SondErAkTion<br />
Testen Sie jetzt<br />
3 Ausgaben<br />
für 3 Euro!<br />
nUr<br />
MiT dVd!<br />
Coupon senden an: <strong>Linux</strong>-<strong>Magazin</strong> Leser-Service A.B.O.<br />
Postfach 1165, 74001 Heilbronn<br />
JA,<br />
ich möchte die nächsten 3 <strong>Linux</strong>-<strong>Magazin</strong>-Ausgaben für nur E 3*, statt<br />
E 17,40*, testen. Wenn mich das <strong>Linux</strong>-<strong>Magazin</strong> überzeugt und ich 14 Tage<br />
nach Erhalt der dritten Ausgabe nicht schriftlich abbestelle, erhalte ich das <strong>Linux</strong>-<strong>Magazin</strong> jeden<br />
Monat zum Vorzugspreis von nur E 5,13* statt E 5,80* im Einzelverkauf, bei jährlicher Verrechnung.<br />
Ich gehe keine langfristige Verpflichtung ein. Möchte ich das <strong>Linux</strong>-<strong>Magazin</strong> nicht mehr beziehen,<br />
kann ich jederzeit schriftlich kündigen. Mit der Geld-zurück-Garantie für bereits bezahlte,<br />
aber nicht gelieferte Ausgaben.<br />
Name, Vorname<br />
Straße, Nr.<br />
PLZ<br />
Ort<br />
Datum<br />
Unterschrift<br />
Gleich bestellen, am besten mit dem Coupon<br />
oder per<br />
• Telefon: 07131 / 2707 274 • Fax 07131 / 2707 78 601<br />
• E-Mail: abo@linux-magazin.de<br />
Mit großem Gewinnspiel (Infos unter: www.linux-magazin.de/probeabo)<br />
*Preis gilt für Deutschland<br />
Mein Zahlungswunsch: Bequem per Bankeinzug Gegen Rechnung<br />
BLZ<br />
Konto-Nr.<br />
Bank<br />
Beliefern Sie mich bitte ab der Ausgabe Nr.<br />
LM1124M
Titelthema<br />
www.linux-magazin.de Mobile Thin Client 09/2012<br />
32<br />
Das Smartphone als Thin Client<br />
Nimm’s leicht<br />
Wer einsieht, dass mitgebrachte Smartphones und Tablets für die Firmen-IT eine zu üppige Kost sind, kann die<br />
mobilen Clients zumindest auf das Nötigste reduzieren. Heraus kommen Gebilde, die man vom Admin-freundlichen<br />
Server-based Computing kennt: Thin Clients mit Webbrowser und Remote-Desktops. Markus Feilner<br />
nen Apps geschehen, die natürlich nicht<br />
die Desktop-Metapher der Windows-,<br />
<strong>Linux</strong>- und Mac-PCs nachahmen, sondern<br />
die Business- von der Applikationslogik<br />
trennen und so echte Apps für die<br />
Büro- und Branchensoftware aufs mobile<br />
Gerät bringen. Dabei wittern viele Unternehmen<br />
– sowohl Consultants als auch<br />
Software-Entwickler – gute Geschäfte.<br />
Unsicherer Speicher<br />
© Saimen., photocase.com<br />
Die Rechnung sei einfach, meint Vijay<br />
Dheap, Produkt Manager und Master<br />
Inventor bei IBM Security Systems: „Sicherheit<br />
bei „Bring your own Device“ ist<br />
einfach die Summe aus Mobile Device<br />
Security, Mobile App Security und Mobile<br />
Access Security.“ Gerade weil Anwender<br />
und Admins bei den ersten beiden<br />
Komponenten nur schwer die Oberhand<br />
behalten, gelte es dabei vor allem, das<br />
potenziell unsichere Smartphone oder Tablet<br />
immer als eine Plattform zu betrachten,<br />
die sich dem Zugriff der Firmen-IT<br />
und dem Schutz der Firewall entziehe,<br />
selbst wenn der Anwender damit im internen<br />
WLAN arbeite.<br />
Deshalb empfehlen Sicherheitsspezialisten<br />
die Rechenpower des smarten Device<br />
links liegen zu lassen. Stattdessen<br />
lohne es, auf die bewährten Konzepte<br />
des Server-based Computing auszuweichen<br />
und den mobilen Client mit einer<br />
Software auszustatten, die den Zugriff<br />
auf die Serverdienste so sicher wie eben<br />
möglich gestalte.<br />
Anachronistisch: Web und<br />
Desktop auf dem Telefon<br />
Webanwendungen und – für die Übergangszeit<br />
– Remote-Desktop-Protokolle<br />
erben damit überraschend ein neues<br />
Einsatzfeld über ihren angestammten<br />
Thin-Client-Bereich hinaus, auch wenn<br />
die Bedienkonzepte eines RDP-, VNCoder<br />
Citrix-Desktops „gar nicht zu dem<br />
vom Anwender präferierten App-Kontext-<br />
Switching und den kleinen Touchscreens<br />
passen“ (Dheap). Immerhin lassen sich<br />
so bestehende Infrastrukturen auf Smartphones<br />
und Tablets bringen.<br />
Auf lange Sicht muss das auch nach<br />
Meinung von Security-Experten eines<br />
deutschen Dax-Unternehmens mit eige-<br />
Doch bis es so weit ist, wollen mobile<br />
Mitarbeiter „schnell etwas auf dem Windows-Server<br />
fertig stellen“ oder einfach<br />
per Office-Software nachsehen, auch<br />
unterwegs. Die Unternehmensdaten auf<br />
dem Smartphone zu speichern oder dem<br />
Gerät mit fremden Apps (etwa mit einem<br />
der vielen kostenlosen Dokumenten-Viewer)<br />
Zugriff zu verschaffen scheidet aus<br />
Sicherheitsgründen aus. Zu groß ist das<br />
Risiko, bei einem Verlust oder Diebstahl<br />
einem interessierten Außenstehenden<br />
Zugriff auf die Firmen-IT oder deren Daten<br />
zu erlauben.<br />
Die erste Pflicht muss es folglich sein,<br />
das Speichern von Firmendaten oder<br />
Zugangs-Credentials auf dem Smartphone<br />
zu unterbinden. Weil das aber der<br />
vom Anwender gewünschten Usability<br />
widerspricht und es für alle Standardprotokolle<br />
(Web oder Remote-Desktop)<br />
unzählige Apps gibt, die diese Vorgabe<br />
umgehen (Abbildung 1, [1]), ist das auf<br />
einem Gerät, das nicht dem Einflussbereich<br />
der Firma untersteht, nur schwer<br />
umsetzbar.<br />
Hinzu kommt, dass Benutzer das mehrfache<br />
Eingeben einer Username-Passwort-<br />
Kombination (beim Einschalten, beim<br />
Entschlüsseln der Dateisysteme, beim<br />
Verbindungsaufbau) auf die Dauer als
Mobile Thin Client 09/2012<br />
Titelthema<br />
Abbildung 1: Android VNC und Remote RDP Lite stehen stellvertretend für eine Vielzahl von Apps, die zwar zufriedenstellenden Remote-Zugriff ermöglichen, die<br />
Credentials aber auf dem Endgerät speichern.<br />
www.linux-magazin.de<br />
33<br />
nervig empfinden und zu umgehen suchen.<br />
Hier stehen sich wieder einmal die<br />
klassischen Ansprüche an Usability und<br />
grundlegende Sicherheitsanforderungen<br />
scheinbar unauflösbar gegenüber.<br />
Office-Software und der<br />
Touchscreen<br />
Damit nicht genug: Die GUIs der Marktführer<br />
sind – mit Ausnahme des kurz<br />
vor Redaktionsschluss präsentierten<br />
Microsoft Office [2] – nicht für den<br />
Touchscreen vorbereitet. Auch die Videos<br />
auf der Webseite von Citrix Receiver [3],<br />
einer App, die Desktop-Anwendungen<br />
(aus der virtuellen Desktop-Cloud, [4])<br />
auf Android-Telefone bringt, zeigen die<br />
Schwächen eindrucksvoll.<br />
Das Office-Fenster reicht stets über den<br />
kleinen Bildschirm hinaus, eine Darstellung<br />
im übersichtlicheren Vollbild ist<br />
offenbar nicht möglich. Für das Popup-<br />
Menü (rechte Maustaste) muss der Anwender<br />
länger auf das Display tippen.<br />
Die Eingabe von Text über die Touchscreen-Tastatur<br />
eignet sich sicherlich für<br />
kleinere Korrekturen, nicht aber für längere<br />
Texte oder die typischen Arbeiten<br />
einer Bürokraft.<br />
Bitte warten ...<br />
das GSM-Netz das Steuern eines Remote-<br />
Desktops. Funktioniert die Eingabe von<br />
Text noch einigermaßen flüssig, gerät<br />
das Verschieben oder Ziehen von Elementen<br />
mit der Maus zur Qual. Wer das<br />
nicht glaubt, der versuche testweise über<br />
UMTS auf die VNC-Konsole von Mac OS<br />
X zuzugreifen.<br />
Besser machen das Protokolle mit intelligenter<br />
Komprimierung und angepassten<br />
Caches wie die NX-Libraries, Microsofts<br />
Remote Desktop Protokoll (RDP), Citrix’<br />
proprietäres ICA-Protokoll oder vollständig<br />
proprietäre Lösungen wie die von<br />
Teamviewer (Abbildung 2, [5]). Doch<br />
für Nomachines NX gibt es mangels X-<br />
Window keinen passenden Client für<br />
Apple oder Android und die Kompression<br />
von RDP und Teamviewer reicht<br />
meist nicht aus, um auch über langsame<br />
Leitungen ansprechende Ergebnisse zu<br />
erreichen. Eine Wifi-Verbindung ist dann<br />
Pflicht, was aber die Mobilität des Roadwarriors<br />
wiederum einschränkt.<br />
Hinzu kommt: Jeder Remote-Desktop-<br />
Client, der um der Bedienbarkeit oder<br />
Bandbreite willen einen lokalen Cache<br />
vorhält, verschafft damit einem Angreifer<br />
auf dem Smartphone ein verlockendes<br />
Ziel – auch hier kollidieren Usability und<br />
Sicherheitsanspruch.<br />
HTML-5-Apps<br />
Einen Ausweg aus dem Dilemma sehen<br />
viele Sicherheitsexperten in eigenen<br />
Apps, mit ihnen könnten Unternehmen<br />
den zweiten Faktor der oben genannten<br />
Gleichung adressieren: Mobile App<br />
Security. Die Apps müssen nicht zwingend<br />
als Standalone-Programme konzipiert<br />
sein, es reicht auch aus, einfach eine<br />
Art mit Sicherheitsfunktionen erweiterten<br />
Wrapper um einen angepassten Browser<br />
zu wickeln und die Inhalte mit HTML-5-<br />
Technologien bereitzustellen.<br />
Da wäre es dann auch ein Leichtes, Features<br />
der Smartphones wie die Stand-<br />
Ein weiteres Problem, das alle Remote-<br />
Desktop-Apps teilen und für das die wenigsten<br />
Protokolle eine Lösung bieten,<br />
ist die Latenz. Verbindungen mit hoher<br />
Bandbreite wie UMTS, HSPA oder LTE<br />
schaffen zwar Übertragungsraten im<br />
DSL-Bereich (vorausgesetzt die Funkzelle<br />
hat Ressourcen frei), doch behindern die<br />
vergleichsweise langen Laufzeiten über<br />
Abbildung 2: Teamviewer bringt entfernte Desktops auch auf Android-Geräte. Mangels Touch-Integration<br />
gestaltet sich deren Bedienung jedoch schwierig.
Titelthema<br />
www.linux-magazin.de Mobile Thin Client 09/2012<br />
34<br />
Abbildung 3: Free RDP Webconnect setzt die Bildschirmdarstellung eines Windows-Terminalservers live in<br />
HTML 5 um. Als Client reicht ein Browser.<br />
ortbestimmung per GPS oder GSM-Netz<br />
oder auch kommende Sicherheitsfunktionen<br />
(wie die Google Device Policy<br />
Apps, [6]) zu integrieren und so dafür<br />
zu sorgen, dass der Zugang zur Firmen-<br />
IT nur unter Bedingungen erfolgt („Auf<br />
dem Firmengelände“, „Per UMTS eingewählt“,<br />
„Passort/PIN ist sicher“). Als<br />
Minimalvoraussetzung für eine derartige<br />
App nennen Security-Experten:<br />
n Lokales Speichern von Credentials unterbinden<br />
n Keinen Cache auf dem Smartphone/<br />
Tablet nutzen<br />
n Die Authentisierung um One-time-<br />
Passwörter mit separaten Smartcards<br />
oder Tokens erweitern, nicht per Software<br />
auf dem mobilen Gerät.<br />
Der Zugriff auf die Unternehmensanwendungen<br />
ließe sich dann exklusiv auf<br />
die Smartphone-App beschränken (etwa<br />
mit Client-side-Zertifikaten), alternative<br />
Browser blieben aus Sicherheitsgründen<br />
außen vor. Das gleiche Konzept könnte<br />
für Standardprotokolle des Remote-Desktops<br />
wie VNC und RDP oder für den Verbindungsaufbau<br />
via VPN-Software dienen<br />
– in der speziell angepassten App.<br />
Simultanübersetzer<br />
Fürs Erste könnten auch Tools helfen, die<br />
wie Broadway [7], Guacamole [8] oder<br />
Free RDP Webconnect (Abbildung 3, [9])<br />
heutige Desktop-Umgebungen on the Fly<br />
in HTML 5 konvertieren. Doch selbst das<br />
ist, glaubt man Analysten wichtiger Beratungsunternehmen,<br />
nur die Übergangsphase.<br />
Admins und IT-Leiter müssten sich<br />
darauf einstellen, dass Desktop-Software<br />
mittelfristig Webapplikationen weichen<br />
wird, auch und gerade wegen unumkehrbarer<br />
Trends wie BYOD.<br />
Als Beispiel nennen sie dafür immer<br />
wieder die Stadt München, sie mache<br />
das vor und erwarte seit 2008 „Plattformunabhängigkeit<br />
bei allen Bewerbern in<br />
Software-Ausschreibungen“ – übersetzt<br />
bedeutet das nichts weniger als „Browser-basiert,<br />
bitte!“<br />
Kleinen Unternehmen, die zusätzlich<br />
Fach anwen dungen oder andere ältere<br />
Programme auf dem Desktop einsetzen,<br />
bereitet das jedoch Probleme. Umso<br />
mehr, wenn sie die Programme auch auf<br />
absehbare Zeit nicht durch Browserfrontends<br />
ersetzen können, dennoch aber<br />
Smartphones oder Tablets einsetzen wollen.<br />
Lässt sich der Vendor-Lock-in nicht<br />
umgehen, bleibt nur der Griff zu den<br />
auf Touchscreens unhandlichen Remote-<br />
Desktop-Apps übrig.<br />
Händewaschen hilft!<br />
Peter Klee, IT Security Consultant bei<br />
IBM, rät IT-Strategen dementsprechend<br />
beim Design ihres BYOD-Konzepts die<br />
Augen für einfache Lösungen offen zu<br />
halten und Wert auf nachhaltige Investitionen<br />
zu legen.<br />
Es gäbe einfache Konzepte, die dauerhafteren<br />
Erfolg brächten als der Einsatz von<br />
viel und teurer Technologie. Er fordert<br />
mehr Weitblick von den Admins: „Denken<br />
Sie mal an die Krankenhauskeime.<br />
All die Versuche, das mit medizinischpharmazeutischen<br />
Mitteln in den Griff<br />
zu kriegen, haben nicht funktioniert. Und<br />
was hilft am besten? Wenn sich die Ärzte<br />
und das Personal häufiger die Hände waschen!“<br />
Wichtigster Ansatz dabei sei für viele Experten<br />
die „Webifizierung“ der Business-<br />
Anwendungen sowie die Absicherung des<br />
Zugriffswegs. Klee spricht vom „A und<br />
O der ganzen BYOD-Debatte: Angesichts<br />
der Flut von mobilen Geräten und der<br />
schnellen Innovationszyklen müssen wir<br />
heute davon ausgehen, dass der HTML-5-<br />
fähige Browser der kleinste gemeinsame<br />
Nenner ist. Der Trend zu BYOD scheint<br />
nicht abwendbar“.<br />
Mit dem Browser als Plattform scheinen<br />
Unternehmen auch in einigen Jahren<br />
noch ihre Mitarbeiter mit allen Anwendungen<br />
versorgen zu können, die sie<br />
für die Arbeit brauchen – egal was für<br />
vermeintlich smarte Geräte die dann ins<br />
Unternehmen schleppen. <br />
n<br />
Infos<br />
[1] Zehn freie Remote-Desktop-Apps im<br />
Vergleich: [http:// slodive. com/ freebies/<br />
android‐remote‐desktop‐apps/]<br />
[2] Microsoft Office Touch:<br />
[http:// www. microsoft. com/ en‐us/ news/<br />
Press/ 2012/ Jul12/ 07‐16OfficePR. aspx]<br />
[3] Citrix Receiver App for Android:<br />
[http:// community. citrix. com/ display/ xa/<br />
Citrix+Receiver+for+Android]<br />
[4] Markus Feilner, „Zentrale Aufgabe“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 03/11, S. 26<br />
[5] Teamviewer-App für Android:<br />
[http:// www. teamviewer. com/ de/<br />
download/ mobile. aspx]<br />
[6] Google Device Policy Apps, Administration:<br />
[http:// support. google. com/ a/ bin/<br />
answer. py? hl=de& answer=1056433]<br />
[7] Florian Effenberger, Markus Feilner, „GTK<br />
führt Regie“: <strong>Linux</strong>-<strong>Magazin</strong> 02/12, S. 58<br />
[8] Harald Jele, „Grüner Dipp“: <strong>Linux</strong>-<strong>Magazin</strong><br />
04/12, S. 72<br />
[9] Free RDP Webconnect: [http:// freerdp. net]
www.kamp.de<br />
In der IT setzt man besser<br />
auf einen starken Partner!<br />
IT-Lösungen – stark und individuell. Mehr unter www.kamp.de
Titelthema<br />
www.linux-magazin.de MDM 09/2012<br />
36<br />
Mobile Device Management<br />
Hüte sie wer kann<br />
Die sauberste Lösung für BYOD scheint zu sein, dass die IT-Abteilung die Geräte unter ihre Kontrolle bringt und<br />
für das Managen der Mobil-Betriebssysteme und Apps sorgt. Eine unübersichtlich große Menge Produkte verspricht<br />
genau dies zu tun. Jan Kleinert<br />
© Jenzig71, photocase.com<br />
Der seriöseste Art mit dem Problem der<br />
Mischnutzung von Geräten umzugehen,<br />
ist private und dienstliche Programme<br />
voneinander zu trennen. Das kriegt der<br />
Admin für Privat-Notebooks gut in Eigenregie<br />
bewerkstelligt, indem er den<br />
privaten Teil des Gerätes weiter unter<br />
der Kontrolle des Benutzers lässt und<br />
den dienstlichen Teil selbst bereitstellt.<br />
In Betracht kommen Dualboot- genauso<br />
wie virtuelle Systeme. Letztere Variante<br />
ist nicht nur moderner, sondern lässt<br />
sich auch besser umsetzen: Die Festplatte<br />
muss nicht umpartitioniert werden.<br />
Schwerer noch wiegt der Vorteil, dass die<br />
Virtualisierung Hardware-Unterschiede<br />
nivelliert; der Admin in der Firma braucht<br />
nur eine virtuelle Maschine für alle fremden<br />
Rechner vorhalten.<br />
Das Betriebssystem gestalten die Admins<br />
am besten fernadministrierbar. Die Verbindung<br />
nach draußen sollte ausschließlich<br />
per VPN in die Firma passieren – am<br />
besten, man lässt den Mitarbeiter sogar<br />
beim dienstlichen Surfen über das Firmengateway<br />
laufen.<br />
Wer keine Virtualisierung möchte, kann<br />
die Mitarbeiter mit USB-Sticks ausstatten,<br />
mit denen sie ihre Rechner booten.<br />
Die sollten freilich in Sachen Security so<br />
ausgelegt sein, dass bei Verlust keine ungesicherten<br />
Zertifikate in falsche Hände<br />
kommen. Es gibt auch Firmen, die sich<br />
auf entsprechende Bootmedien spezialisiert<br />
haben, beispielsweise ECOS mit<br />
ihrem „Secure Boot Stick“, der eine Zwei-<br />
Faktor-Authentifizierung bietet [1].<br />
Smartphones und Tablets<br />
Die modernen Geräteklassen machen<br />
den Admins die Administration ungleich<br />
schwerer. Einzig RIM mit seinen Blackberry-Serien<br />
hat schon beim Design an<br />
Fremd- und Gruppenadministration gedacht.<br />
Android- und Apple-Geräte dagegen<br />
sind für den Massenmarkt gemacht<br />
und bieten von sich aus keine ernst zu<br />
nehmende Unterstützung. Firmen sind<br />
auf die Software und Hilfe von Drittanbietern<br />
angewiesen.<br />
Das Sachgebiet nennt sich Mobile Device<br />
Management, kurz MDM. Es umfasst das<br />
zentrale Verwalten der Geräte sowie das<br />
Verteilen von Apps, Daten sowie Einstellungen.<br />
Laut [2] besitzt die ideale MDM-<br />
Lösung folgende Eigenschaften:<br />
n Kompatibel zu allen gängigen Mobilplattformen<br />
und -anwendungen<br />
n Arbeitet in allen Mobilfunknetzen<br />
n Lässt sich direkt Over-the-air (OTA)<br />
implementieren unter Auswahl bestimmter<br />
Zielgeräte<br />
n Liefert Hardware, Betriebssysteme,<br />
Konfiguration und Anwendungen<br />
schnell und problemlos aus<br />
n Administratoren fügen mobile Geräte<br />
nach Bedarf per System hinzu oder<br />
entfernen sie<br />
n Die Integrität und Sicherheit der IT-<br />
Infrastruktur ist stets gewährleistet<br />
n Security Policies werden konsequent<br />
durchgesetzt<br />
n Der Anwender bekommt von der Existenz<br />
der Lösung kaum etwas mit.<br />
Rund 50 Anbieter treten mit MDM-Lösungen<br />
in Erscheinung (siehe Kasten „Der<br />
Markt“). Bei den aktuellen Systemen lassen<br />
sich grundsätzlich zwei Typen unterscheiden:<br />
Management-Systeme, die<br />
im Wesentlichen nur einen Endgerätetyp<br />
oder ein Betriebssystem unterstützen<br />
wie Blackberry von RIM oder der System<br />
Center Mobile Device Manager von<br />
Microsoft. Sie eignen sich nur für Monokulturen,<br />
legen dort aber in der Regel größere<br />
Leistungsfähigkeit an den Tag als die<br />
zweite Gruppe. Diese zielt auf heterogene<br />
Endgerätelandschaften ab und macht den<br />
Hauptteil des Marktes aus. Die Produkte<br />
differieren stark darin, welche Gerätety-
pen sie unterstützen und wie vielfältig<br />
die angebotenen Funktionen sind. Vor<br />
ihrer Einführung müssen Unternehmen<br />
daher genau hinschauen.<br />
Monokulturen<br />
Ein vergleichsweise einfaches Szenario<br />
erlaubt den Anwendern nur ein einziges<br />
System, etwa Smartphones von Research<br />
In Motion (RIM). Die neue Blackberry-<br />
10-Plattform gilt als sehr leistungsfähig<br />
und passt perfekt zur erprobten Managementumgebung<br />
Blackberry Mobile<br />
Fusion. Allerdings sind Probleme mit<br />
der Service-Verfügbarkeit dokumentiert.<br />
RIM verkauft zudem mit dem Blackberry<br />
Enterprise Server eine Managementplattform<br />
für die Eigenregie in der Firma.<br />
Für einige Irritation im Markt sorgte der<br />
Umstand, dass RIM den deutschen MDM-<br />
Platzhirsch Ubitexx [4] übernommen<br />
hat, dessen Plattform eine Vielzahl von<br />
mobilen Systemen adressierte.<br />
Es ist zu vermuten, dass auch Microsoft<br />
mit Windows Phone 8 in Richtung zentraler<br />
Wartungsfunktionen gehen wird. Die<br />
Integration von United Extensible Firmware<br />
Interface (UEFI) und einem Remote<br />
Management sowie dem Windows Phone<br />
8 Hub für unternehmensweite Apps deuten<br />
darauf hin. Wie weit diese Geräte in<br />
den Industrieländern Fuß fassen können,<br />
bleibt freilich abzuwarten.<br />
Symantecs und SAPs<br />
MDM-Reiche<br />
Apropos Unternehmenskäufe: Im März<br />
hat Symantec die Firma Odyssey Software<br />
übernommen und gelangte damit in<br />
den Besitz der Software Odyseey Athena.<br />
Symantec komplettiert das eigene MDM-<br />
Portfolio [5] und bietet damit eine<br />
Standalone-Lösung an, ein integriertes<br />
MDM in der Altiris IT Management Suite<br />
und ein MDM, das sich in den Microsoft<br />
System Center Configuration Manager<br />
integrieren lässt. Daneben existieren<br />
Einzellösungen wie die ab dem zweiten<br />
Halbjahr verfügbare Symantec Data<br />
Loss Prevention for Mobile für das iPad<br />
und iPhone. Das Nukona App Center<br />
verschlüsselt Daten und Apps auf I-OS-<br />
Geräten und der Symantec PGP Viewer<br />
zeigt verschlüsselte E-Mails auf Appleund<br />
Android-Geräten an.<br />
Neu ist die „Mobile Security für Android“:<br />
Symantec beobachtet und analysiert dazu<br />
Millionen von Android-Apps in den weltweiten<br />
Appstores und greift zudem auf<br />
Erkenntnisse aus dem eigenen Analysenetz<br />
Global Intelligence Network und die<br />
Malware-Erkennung von Software Norton<br />
Mobile Security zurück. Heraus kommt<br />
eine Art Freund-Feind-Unterscheidung.<br />
Die Software lässt sich in die Altiris IT<br />
Management Suite von Symantec und<br />
den Microsoft System Center Configuration<br />
Manager integrieren.<br />
Sybase, mittlerweile ein Unternehmensbereich<br />
von SAP, verwaltet mit dem Pro-<br />
MDM 09/2012<br />
Titelthema<br />
www.linux-magazin.de<br />
37<br />
Digitales aBO<br />
linuxUser: Das Monatsmagazin für die Praxis<br />
DigisUB *<br />
nur 56,10 €<br />
im Jahr (12 PDFs)<br />
* Digitales Abo, jederzeit kündbar<br />
Jetzt Bestellen Unter:<br />
www.linux-user.de/digisub<br />
Telefon: 07131 /2707 274<br />
Fax: 07131 / 2707 78 601<br />
E-Mail: abo@linux-user.de
Titelthema<br />
www.linux-magazin.de MDM 09/2012<br />
38<br />
© SAP / Sybase<br />
Abbildung 1: Die umfängliche MDM-Lösung Sybase Afaria gehört mittlerweile zu SAP.<br />
dukt Afaria [6] Android-, Apple- und<br />
Blackberry-Geräte (auch Windows-Notebooks).<br />
Auf den Servern ist Windows<br />
Voraussetzung (Abbildung 1). Afaria Advanced<br />
Enterprise Security for Android<br />
zielt auf das Samsung Galaxy S und S2<br />
ab und umfasst ein Sicherheitsmanagement<br />
über Richtlinien, Anwendungsmanagement,<br />
Konfigurationsmanagement,<br />
Exchange-Clientkonfiguration und Overthe-Air-Bereitstellung.<br />
Letztere funktioniert<br />
serverseitig auch auf einem <strong>Linux</strong>-<br />
Apache-Server.<br />
Mobile Iron<br />
Als Spezialanbieter hat es Mobile Iron [7]<br />
dieses Jahr in den Leader-Quadranten bei<br />
Gartner geschafft. Das Produktportfolio<br />
Der Markt<br />
Im 2012 haben die Analysten von Gartner das<br />
letzte mal den MDM-Markt untersucht und<br />
ihren Magischen Quadranten gezeichnet [3].<br />
Als wichtigste Spieler sehen sie: Air Watch<br />
(beruht auf dem MDM-Angebot der deutschen<br />
Firma Matrix42), Amtel, Boxtone, Fiberlink,<br />
Good Technology, IBM, LAN Desk, McAfee,<br />
Mobile Iron, MY Mobile Security, Open Peak,<br />
SAP, Silverback MDM, Smith Micro Software,<br />
Sophos, Soti, Symantec, Tangoe, Trend Micro<br />
und Zenprise.<br />
Als „weitere Anbieter“, die zum Teil auch nicht<br />
alle Bewertungskriterien der Analyse erfüllen,<br />
umfasst mit Application Delivery Network<br />
(ADN, Abbildung 2) eine große<br />
App-Ausroll-Lösung genauso wie die Spezialanwendung<br />
Mobile Iron Docs@Work,<br />
die durch Verschlüsselung und Kontrolle<br />
Datenlecks verhindern will.<br />
Für <strong>Linux</strong>er interessanter ist das Produkt<br />
App Connect für Android. Es verpackt<br />
jede geschäftliche App in einen Container,<br />
den der Admin über die Mobile-Iron-<br />
Konsole verwaltet. Nur vertrauenswürdige<br />
Apps können Daten untereinander<br />
austauschen. Private Apps auf dem<br />
Mobilgerät sind von dieser Kommunikation<br />
ausgeschlossen. Die erweiterte<br />
App-Wrapping-Technologie erfordert<br />
allerdings einen minimalen Eingriff des<br />
Android-App-Entwicklers. App Connect<br />
verschlüsselt zudem Daten, bietet eine<br />
nennt Gartner die folgenden: 3LM, Absolute<br />
Software, Aether Pal, Alcatel-Lucent, Alepo,<br />
Apperian, Avoceen, Blackbox Mobile, BMC<br />
Software, CA Technologies, Capricode, Cloud<br />
Systems, Commsolv, Commontime, Cortado,<br />
Equinox Software, Finepoint Software, Gill<br />
Technologies, Google, Halosys, HP, Innopath,<br />
I-Pass, JAMF Software, Juniper Networks, LRW<br />
Technologies, Mformation Technologies, Mobi<br />
DM, Mobi Wireless, Mobile Frame, Mobiquant,<br />
Microsoft, NitroDesk, Notify Technology, Novell,<br />
Perlego Systems, Sirrix, Virtela, Wavelink, Wyse<br />
Technology und Zelog.<br />
Single-Sign-on-Funktion und trennt geschäftliche<br />
und private Daten (siehe<br />
nächster Abschnitt).<br />
Neuer Ansatz<br />
Dank leistungsfähigerer Hardware rückt<br />
in den letzten Monaten ein neue Möglichkeiten<br />
ins Blickfeld. Technisch ähnlich<br />
zur eingangs geschilderten Trennung von<br />
Programmen und Daten auf Notebooks,<br />
arbeiten einzelne Firmen und Institute<br />
daran, dieses auch auf Smartphones und<br />
Tablet-PCs zu realisieren. Pionier ist Good<br />
Technology: Good Mobile Control legt<br />
getrennte verschlüsselte Datenbereichen<br />
(„Container“) für private und Firmendaten<br />
auf dem Mobilgerät an.<br />
Moderner und besser ist eine Vir tualisie<br />
rung, weil der Benutzer in Echtzeit<br />
zwischen zwei Systemen umschalten<br />
kann. Dabei kontrolliert das Unternehmen<br />
das virtuelle Betriebssystem in einer<br />
abgesicherten Umgebung und sorgt automatisch<br />
für Aktualisierungen, da es die<br />
gesamte Sandbox-Umgebung verwaltet.<br />
So bietet VMware eine Virtualisierungsmöglichkeit<br />
für kleine Geräte mit den<br />
Betriebssystemen Windows CE 5.0 und<br />
6.0, <strong>Linux</strong> 2.6, Symbian 9, E-Cos, µItron<br />
Norti und µC/OS-II an [8].<br />
Mit der Technik allein<br />
ist es nicht getan<br />
Wer eine MDM-Lösung einführt, hat auch<br />
organisatorische und rechtliche Vorbereitungen<br />
zu treffen. So sollte er Leitlinien<br />
für das Gerätemanagement definieren,<br />
die die Aktivitäten für BYOD-Geräte abdecken,<br />
beispielsweise die Vorgaben für<br />
die Nutzer-Registrierung und des Nutzer-<br />
Selfservice. Auch der Helpdesk braucht<br />
eine Richtlinie, mit welchen Mitteln er<br />
Fehler aufspüren und beheben will. Zudem<br />
sollte die Rechtsabteilung eine Vereinbarung<br />
ausarbeiten über den Umfang<br />
des betrieblichen Eingriffs in die Privatgeräte,<br />
einhergehende Rechte und Pflichten<br />
beider Seiten sowie zur Haftung.<br />
Fazit<br />
Mobile Device Management ist der löbliche<br />
Versuch, das Übel an der Wurzel zu<br />
packen – unsichere Endgeräte unter die<br />
Kontrolle der Firmen-IT zu bringen und
© Mobile Ivon<br />
Abbildung 2: Das Mobile Iron Application Delivery Network rollt Apps aus.<br />
durch eine Managementlösung sicher zu<br />
machen. Was nach einer sauberen Lösung<br />
klingt, erweist sich in der Praxis<br />
als schwer durchsetzbar – schon allein<br />
deshalb, weil MDM den Eigentümern der<br />
Geräte Restriktionen zumutet.<br />
Auch technisch ist die Sache eine einzige<br />
Herausforderung, da die Mehrzahl der<br />
Consumergeräte und<br />
Betriebssysteme auf<br />
Usability und nicht auf<br />
Managebarkeit und<br />
Datenschutz optimiert<br />
sind. Hinzu kommen<br />
die Vielzahl verschiedener<br />
Geräte und das<br />
Innovationstempo auf<br />
dem Markt: Jedes<br />
MDM steht Unmengen<br />
sich schnell bewegender<br />
Ziele gegenüber.<br />
Am aussichtsreichsten<br />
sind die neuen Virtualisierungsansätze.<br />
Ohne Vorgaben des eigenen Unternehmens<br />
(„Erlaubt für BYOD sind nur<br />
Samsung-Geräte mit der Android-Version<br />
X“) erscheint die Situation kaum beherrschbar.<br />
Unterm Strich fahren Unternehmen,<br />
die MDM anzuwenden planen,<br />
besser, wenn sie gleich Firmenhandys<br />
und ‐tablets ausgeben. Bring your own<br />
Device dürfen sie das dann freilich nicht<br />
mehr nennen. <br />
n<br />
Infos<br />
[1] ECOS: [http:// www. ecos. de/<br />
Bring‐your‐own‐device. html]<br />
[2] MDM bei Wikipedia: [http:// de. wikipedia.<br />
org/ wiki/ Mobile‐Device‐Management]<br />
[3] Magic Quadrant for Mobile Device Management<br />
Software: [http:// www. gartner. com/<br />
technology/ reprints. do? id=1‐1AKKJNN&<br />
ct=120518& st=sb]<br />
[4] Ubi-Suite (gehört heute zu RIM):<br />
[http:// de. wikipedia. org/ wiki/ Ubi‐Suite]<br />
[5] MDM bei Symantec: [http:// www. symantec.<br />
com/ de/ de/ about/ news/ release/ article. jsp?<br />
prid=20120515_02]<br />
[6] Sybase/SAP Afaria: [http:// www. sybase. de/<br />
products/ mobileenterprise/ afaria]<br />
[7] Mobile Iron: [http:// www. mobileiron. com]<br />
[8] VMware bringt Virtualisierung auf Mobiltelefone:<br />
[http:// www. vmware. com/ de/<br />
technical‐resources/ mobile. html]<br />
MDM 09/2012<br />
Titelthema<br />
www.linux-magazin.de<br />
39<br />
Android User im Abo<br />
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer<br />
Neu mit Prämie!<br />
15% sparen beim Print- oder<br />
Digital-Abo und exklusive Prämie<br />
sichern!<br />
SoftMaker Office über Google Play erhältlich, Freischaltung erfolgt per<br />
Gutscheincode. Angebot gilt solange der Vorrat reicht, Tablet und Smartphone<br />
sind nicht Bestandteil der Prämie!<br />
Jetzt bestellen unter:<br />
www.android–user.de/abo<br />
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de
Titelthema<br />
www.linux-magazin.de Mobile Security 09/2012<br />
40<br />
Mobile-Security-Produkte für Android-Geräte<br />
Smart und an der Leine<br />
Für kleine Firmen erscheint ein BYOD-rundum-Management illusorisch. Mobile-Security-Software von der<br />
Stange überwacht Software-Installationen und begrenzt den Schaden bei Diebstahl oder Verlust. Mathias Huber<br />
schaffte dagegen lediglich zwischen 40<br />
und 65 Prozent.<br />
Der Smartphone- und Tablet-Benutzer ist<br />
aber nicht nur von mobiler Malware bedroht:<br />
Er kann das Gerät einfach verlieren<br />
oder es wird ihm gestohlen. Firmendaten<br />
dürfen nicht in falsche Hände geraten,<br />
darum ist neben dem Malware-Scanner<br />
ein Diebstahlschutz fester Bestandteil<br />
der Security-Pakete (siehe Kasten „Virenschutz?<br />
Mobile Security!“).<br />
Schadensbegrenzung<br />
© stylephotographs, 123RF.com<br />
In einem kleinen oder Kleinstunternehmen<br />
lohnt sich keine kostspielige Software<br />
fürs Devicemanagement. Zudem<br />
möchte nicht jeder Inhaber oder Admin<br />
die Smartphones seiner Mitarbeiter und<br />
Kollegen restriktiv vernageln. Wer dennoch<br />
verhindern möchte, dass die neueste<br />
Spaß-App die Unternehmensdaten<br />
an einen Schurkenserver schickt, greift<br />
zu Mobile-Security-Produkten.<br />
Preisfrage<br />
Dieser Artikel stellt vier kostenpflichtige<br />
und eine Gratis-App für den Schutz von<br />
Online PLUS<br />
Sparen Sie sich<br />
das Abtippen der<br />
URLs: Eine Linkliste zu<br />
diesem Artikel finden<br />
Sie online, der QR-Code<br />
führt Sie dorthin.<br />
Android-Mobilgeräten vor. Dabei führt<br />
der Weg zu mancher Bezahl-Software<br />
über eine zunächst kostenlose Light- oder<br />
Free-Variante im Google Play Store. Das<br />
kostenpflichtige Upgrade zur Voll- oder<br />
Premium-Version mit allen Funktionen<br />
und Updates erfolgt dann über die installierte<br />
App. G-Data und Kaspersky allerdings<br />
geben den Preis ihrer Produkte<br />
bereits im Play an.<br />
Alle Security-Suites enthalten einen<br />
Malwareschutz und aktualisieren die<br />
Suchmuster regelmäßig. Deren Qualität<br />
vermögen allerdings nur Spezialisten<br />
zu beurteilen, denn nur sie besitzen<br />
eine gut sortierte Sammlung geeigneter<br />
Schädlinge (Abbildung 1). Das Magdeburger<br />
Labor AV-Test hat im März 2012<br />
Untersuchungen mit 618 Malwaredateien<br />
durchgeführt. Die Fachleute bescheinigten<br />
Avast Free Mobile Security und Kaspersky<br />
Mobile Security eine Erkennungsrate<br />
von über 90 Prozent, Bitdefender<br />
und Norton eine über 65 Prozent, G-Data<br />
Vor Diebstahl und Verlust schützen solche<br />
Programme allerdings nicht direkt,<br />
sie begrenzen lediglich den Schaden,<br />
falls das Gerät abhanden kommt. So<br />
lässt sich eine installierte Komponente<br />
aus der Ferne per SMS oder Weboberfläche<br />
aktivieren, um eine Reihe von Aktionen<br />
durchzuführen. Dazu gehört, einen<br />
durchdringenden Sirenenton abzuspielen<br />
oder das Gerät zu sperren.<br />
Von besonderer Bedeutung ist der so genannte<br />
Remote Wipe, das Löschen aller<br />
persönlichen Daten und Dateien auf einem<br />
Gerät. Die meisten Tools registrieren<br />
auch das Einsetzen einer anderen SIM-<br />
Karte (SIM-Watch) und sperren das Gerät,<br />
was es für den Dieb nutzlos machen<br />
soll. Wer selbst Detektiv spielen möchte,<br />
kann das Smartphone auf einer Webkarte<br />
orten oder mit einer – falls vorhanden<br />
– Frontkamera versuchen den vermutlichen<br />
Dieb zu fotografieren.<br />
Loses Schloss<br />
Das Ganze hat jedoch einen Haken. Ein<br />
solcher Softwareschutz bleibt wirkungslos,<br />
wenn ihn der Täter mit normalen<br />
Benutzerrechten deinstallieren darf. Das<br />
war im Test der Redaktion bei den Pro-
Virenschutz? Mobile Security!<br />
Marcel Hilzinger,<br />
Chefredakteur<br />
„Android User“<br />
Vor Viren, die sich selbst<br />
verbreiten, braucht der<br />
Android-Benutzer in der<br />
Regel keine Angst zu haben.<br />
Bei der üblichen Nutzung<br />
ist die Gefahr, sich<br />
einen Schädling einzufangen,<br />
sehr gering. Zudem<br />
verbreiten sich rund 90<br />
Prozent der aktuellen<br />
Malware-Apps nur in Asien.<br />
Dennoch droht Gefahr von einzelnen Apps, die<br />
es auf den Geldbeutel der Anwender abgesehen<br />
haben und dazu kostenpflichtige Nummern<br />
anrufen oder SMS-Nachrichten versenden.<br />
Daneben droht Datenklau, der besonders im<br />
Unternehmenseinsatz eine ernsthafte wirtschaftliche<br />
Gefahr darstellt.<br />
Abbildung 2: G-Data schützt ausgewählte<br />
Apps mit einem Passwort vor<br />
dem Ausführen und Löschen.<br />
dukten von Bitdefender,<br />
Kaspersky<br />
und Norton der<br />
Fall.<br />
G-Data Mobile Security<br />
2 dagegen<br />
schützt Anwendungen<br />
mit einem<br />
Passwort vor dem<br />
Löschen, inklusive<br />
seiner selbst und<br />
der Diebstahlsicherung.<br />
Auch das<br />
Ausführen von<br />
Apps und das Lesen<br />
von Kontakten<br />
lässt sich unterbinden<br />
(Abbildung<br />
2).<br />
Testvirus erwischen ist für Kaspersky<br />
Abbildung 1: Geschnappt! Den EICAR-<br />
Am raffiniertesten und andere keine große Kunst.<br />
geht Avast Free<br />
Mobile Security vor: Es verbirgt die Anti-<br />
Theft-App, die der Benutzer fortan nur<br />
noch zur Konfiguration aufrufen kann,<br />
indem er die PIN in die Telefontastatur<br />
eingibt, als wäre sie eine Rufnummer<br />
(Abbildung 3). Zudem kann er einen beliebigen<br />
Tarnnamen für die Anwendung<br />
angeben für den Fall, dass diese doch einmal<br />
in einer Liste von Apps auftauchen<br />
sollte. Die kostenlose Security-Suite lässt<br />
sich zwar entfernen, der Diebstahlschutz<br />
aber bleibt, er nimmt Befehle nur per<br />
SMS entgegen.<br />
Wem es allein auf die Schadensbegrenzung<br />
im Verlustfall ankommt, der ist mit<br />
einem kostenlosen Tool namens Android<br />
Lost gut beraten [2]. Sein Funktionsumfang<br />
kann ohne Weiteres mit den besseren<br />
Komponenten der Suites mithalten.<br />
Blockierte Seiten<br />
Ein vom Desktoprechner bekanntes Einfallstor<br />
für Angriffe ist der Webbrowser.<br />
Er lässt sich verwenden, um dem Surfer<br />
Dateien unterzuschieben (Drive-by<br />
Download) oder um ihm mit gefälschten<br />
Seiten Passwörter für allerhand Dienste<br />
zu entlocken (Phishing). Mit Ausnahme<br />
von Kaspersky verpassen daher alle Pakete<br />
dem eingebauten Android-Browser<br />
eine Liste bekannt böswilliger Sites, die<br />
er nicht anzeigen darf – es sei denn, der<br />
Anwender klickt die Warnung bewusst<br />
Antimalware-Tools bekannter Hersteller wie<br />
Kaspersky oder Bitdefender scannen jede<br />
App bei der Installation und schlagen sogleich<br />
Alarm, wenn sie eine verdächtige App entdecken.<br />
Zu einem umfassenden Smartphone-<br />
Schutz gehören aber auch weitere Funktionen,<br />
darunter das Blockieren von Rufnummern oder<br />
SMS-Absendern, eine Fern-Administration per<br />
SMS, falls das Handy verloren gehen sollte,<br />
sowie eine Gerätesperre, wenn jemand die SIM-<br />
Karte auswechselt.<br />
Statt von Antiviren-Apps zu sprechen wählen<br />
die Hersteller für ihre Apps deshalb den Oberbegriff<br />
Mobile Security. Die Installation eines<br />
solchen Security-Produkts ist sinnvoll – nicht<br />
in erster Linie, um gefährliche Apps zu entdecken,<br />
sondern um den Schaden bei Verlust oder<br />
Diebstahl zu begrenzen.<br />
Managed<br />
Server<br />
Profitieren Sie von:<br />
aktuelle Clustertechnologie<br />
ISO 9001 zertifiziertem<br />
Managed Hosting<br />
Hochsicherheits-Datacenter<br />
DE-CIX Direktanbindung<br />
24/7 Service und Support<br />
Individuelle <strong>Linux</strong>-Server<br />
Professionelles Hosting mit flexiblem,<br />
persönlichem und kompetentem<br />
Support. Für mehr Performance,<br />
Sicherheit und Verfügbarkeit, jeden<br />
Tag, rund um die Uhr.<br />
Wir bieten Hostinglösungen vom<br />
Server bis zum Clustersystem inkl.<br />
Beratung, Planung und Service 24/7.<br />
hostserver.de/server<br />
Managed Hosting<br />
zertifiziert nach<br />
ISO 9001 : 2008<br />
0 30 / 420 200 24 hostserver.de<br />
Berlin Marburg Frankfurt am Main
Titelthema<br />
www.linux-magazin.de Mobile Security 09/2012<br />
42<br />
weg. Details oder Einstellungsmöglichkeiten<br />
zeigt<br />
diese Komponente bei keinem<br />
der besprochenen Produkte.<br />
Wer einen alternativen<br />
Browser verwendet, ist<br />
ohnehin auf sich allein gestellt.<br />
Unerwünschte Werbe-Anrufe<br />
und SMS-Spam können<br />
manchem die Freude am<br />
Smartphone verleiden. Zumal<br />
wenn er sich eigentlich<br />
auf seine Arbeit konzentrieren<br />
sollte. Daher können die<br />
meisten Security-Anwendungen<br />
eingehende Telefonate<br />
und Kurzmitteilungen<br />
von bestimmten Nummern<br />
blockieren. Kasperskys Lösung<br />
benutzt zum Sperren<br />
auf Wunsch Whitelist, Blacklist oder eine<br />
Kombination der beiden.<br />
Telefonzeiten<br />
Besonders komfortabel ist die Funktion<br />
bei Avast Free Mobile Security gestaltet,<br />
das dafür sogar einen Zeitplan mit Wochentagen<br />
und Stunden vorsieht. So bleiben<br />
Meetings und produktive Stunden<br />
ungestört, in der Freizeit ist der Anwender<br />
aber erreichbar. Lediglich Bitdefender<br />
Mobile Security verzichtet auf solcherlei<br />
Funktionalität, was das Produkt trotz bescheidenen<br />
Preises recht mager aussehen<br />
lässt (Abbildung 4).<br />
Neben den Kernfunktionen bringen die<br />
meisten Suites noch ein bisschen informatives<br />
Zubehör mit: Avast zeigt den<br />
Speicherverbrauch laufender Apps, die<br />
anderen haben meist eine Ansicht auf Lager,<br />
die den Anwender über die Berech-<br />
Abbildung 3: Avast versteckt den<br />
Diebstahlschutz geschickt und gibt<br />
dem Programm einen Tarnnamen.<br />
tigungen installierter Software aufklärt<br />
(Abbildung 5). Avast bringt als einziger<br />
Anbieter ein Feature für die Inhaber<br />
gerooteter Geräte mit: Sie können sich<br />
eine lokale Firewall einrichten.<br />
Resümee<br />
Abbildung 4: Das Menü von Bitdefender<br />
Mobile Security ist nur spartanisch<br />
bestückt.<br />
G-Data Mobile Security 2 erfreut den Benutzer<br />
durch eine übersichtliche Oberfläche,<br />
die dennoch vielfältige Einstellungen<br />
erlaubt. Der Diebstahlschutz lässt sich<br />
nicht so einfach deaktivieren. Bei der<br />
Malware-Erkennung dagegen schneidet<br />
das Produkt eher schlecht ab. Hier glänzt<br />
neben Kaspersky das kostenlose Produkt<br />
von Avast. Außerdem lässt es die kostenpflichtige<br />
Konkurrenz mit seinem resistenten<br />
Diebstahlschutz und den flexiblen<br />
Blockier-Einstellungen alt aussehen.<br />
Tabelle 1 fasst die Befunde dieses Artikel<br />
übersichtlich zusammen.<br />
n<br />
Abbildung 5: G-Data klärt den<br />
Anwender darüber auf, was einzelne<br />
Anwendungen dürfen.<br />
Infos<br />
[1] AV-Test GmbH, „Test Report: Anti-Malware<br />
solutions for Android“: [http:// www.<br />
av‐test. org/en/ tests/android/]<br />
[2] Android Lost: [http:// androidlost. com]<br />
[3] Avast Mobile Security:<br />
[https:// play. google. com/ store/<br />
apps/ details? id=com. avast. android.<br />
mobilesecurity]<br />
[4] Kaspersky Mobile Security 9:<br />
[https:// play. google. com/ store/ apps/<br />
details? id=com. kms]<br />
[5] Bitdefender Mobile Security:<br />
[https:// play. google. com/ store/ apps/<br />
details? id=com. bitdefender. security]<br />
[6] G-Data Mobile Security 2:<br />
[https:// play. google. com/ store/ apps/<br />
details? id=de. gdata. mobilesecurity2g]<br />
[7] Norton Mobile Security:<br />
[https:// play. google. com/ store/ apps/<br />
details? id=com. symantec. mobilesecurity]<br />
Tabelle 1: Mobile-Security-Produkte<br />
Avast Free Mobile<br />
Security [3]<br />
Kaspersky Mobile<br />
Security 9 [4]<br />
Bitdefender Mobile<br />
Security [5]<br />
G-Data Mobile<br />
Security 2 [6]<br />
Norton Mobile<br />
Security [7]<br />
Preis (Jahreslizenz) kostenlos 7 Euro 8 Euro 20 Euro 30 Euro<br />
Malwareschutz ja ja ja ja ja<br />
Diebstahlschutz Sperren und Wipe per<br />
SMS, SIM-Watch, getarnte<br />
App<br />
Sperren, Wipe und<br />
Ortung per SMS, SIM-<br />
Watch<br />
Sperren, Wipe, Ortung,<br />
Alarm, Foto<br />
Sperre, Wipe und<br />
Ortung per SMS, SIM-<br />
Watch.<br />
Sperren, Ortung, Wipe<br />
per Web und SMS, Kamera<br />
aktivieren nur per<br />
Web, SIM-Watch<br />
SMS blockieren ja ja nein ja ja<br />
Anrufe blockieren ja ja nein ja ja<br />
Android-Browser-<br />
Sicherheit<br />
ja nein ja ja ja
In eigener Sache: DELUG-DVD<br />
Grub 2, I-doit, Zentyal<br />
Einführung 09/2012 12/2010<br />
Software<br />
Auch diesen Monat bekommen die DELUG-Käufer wieder eine DVD mit exklusiven Inhalten. Von der DVD bootet<br />
das Rettungssystem Super Grub 2, außerdem enthält sie die Managementsoftware Zentyal für Ubuntu-Server,<br />
ein E-Book über Sicherheit, mehrere Videos und eine erweiterte Gratisversion von I-doit. Markus Feilner<br />
www.linux-magazin.de<br />
43<br />
Inhalt<br />
44 Tooltipps<br />
Pass 12, Daytime, Lmvirt, Barefootd,<br />
Iptstate und Monitorix.<br />
46 Bitparade<br />
Großer CMS-Vergleich: Wordpress, Concrete<br />
5, Redaxo, Pivot X und CMS made<br />
simple treten an zum Test.<br />
Neben einem normalen <strong>Linux</strong>-<strong>Magazin</strong><br />
ohne Datenträger gibt es die DELUG-<br />
Ausgabe mit Monats-DVD, bei der die<br />
Redaktion den Datenträger nach einem<br />
speziellen Konzept zusammenstellt: In<br />
einer Art modularem System enthält<br />
er Programme und Tools, die in der jeweiligen<br />
<strong>Magazin</strong>-Ausgabe getestet und<br />
besprochen werden. Zudem führt eine<br />
HTML-Oberfläche durch von der Redaktion<br />
besonders empfohlene Software.<br />
Super Grub 2<br />
Admins kennen das Problem: Wer Windows<br />
nach <strong>Linux</strong> installiert, kann das freie<br />
Abbildung 2: Kostenlos als E-Book auf der DVD.<br />
Betriebssystem zunächst<br />
nicht mehr booten, weil<br />
Microsofts Installationsroutine<br />
den MBR (Master Boot<br />
Record) überschreibt. Zwar<br />
ist die <strong>Linux</strong>-Partition noch<br />
vorhanden, aber es gibt<br />
keine Option mehr, diese<br />
zu starten.<br />
In einem solchen Fall ist es<br />
Gold wert, die DELUG-DVD<br />
mit Super Grub Disk parat<br />
zu haben. Das davon<br />
bootende minimale <strong>Linux</strong>-<br />
System startet auf den Festplatten<br />
vorhandene Systeme<br />
oder repariert defekte Abbildung 1: Super Grub 2 ist der ideale Helfer, wenn irgendetwas mit<br />
Bootloader. Überdies haben dem Master Boot Record oder der Festplatte schiefläuft.<br />
die Entwickler das System<br />
gerade erst auf die Version 2 des beliebten<br />
<strong>Linux</strong>-Bootmanagers aktualisiert.<br />
Gefahr von innen<br />
Wer mit dem Browser auf die DVD zugreift,<br />
findet im HTML-Menü gleich zwei<br />
exklusive Inhalte: Kostenlos gibt es das<br />
zum Titelthema dieser <strong>Linux</strong>-<strong>Magazin</strong>-<br />
Ausgabe passende E-Book „Netzwerkangriffe<br />
von innen“ (Abbildung 2) aus dem<br />
Hause O’Reilly. Auf fast 300 Seiten schildert<br />
Paul Sebastian Ziegler die Gefahren<br />
unsicherer Protokolle, zeigt wie sichere<br />
Varianten aussehen sollten, erklärt das<br />
Absichern des Netzes und beschreibt die<br />
unterschiedlichen Typen von Angreifern,<br />
mit denen Admins konfrontiert sind.<br />
I test it!<br />
Ebenfalls exklusiv auf der DELUG-DVD<br />
ist die ein ganzes Jahr geltende erweiterte<br />
Testversion von I-doit. Passend zum<br />
Artikel in der Sysadmin-Rubrik können<br />
sich Admins hier ein genaues Bild davon<br />
machen, wie die Software bei der technischen<br />
Dokumentation der Betriebsumgebung,<br />
der Modellierung von IT-Services<br />
oder der Konsolidierung von ITSM-Daten<br />
hilft. I-doit tritt an, Admins das Rüstzeug<br />
für die Beherrschung der eigenen<br />
IT-Landschaft zu geben.<br />
Software und Management-<br />
Konferenz-Videos<br />
Damit nicht genug, auch die Software<br />
aus den Tooltipps und der Ubuntu-Small-<br />
Business-Server Zentyal (sowohl als virtuelle<br />
Maschine als auch als ISO-Image)<br />
und die Javascript-Programmierbibliothek<br />
Three.js finden sich auf der DVD.<br />
Und wem das immer noch nicht reicht,<br />
der schaut sich die Videomitschnitte der<br />
„Open Source System Management Conference<br />
2012“ in Bozen an. Da sprechen<br />
Experten übers Monitoring mit Nagios,<br />
zehn Jahre Cacti, Ntop, ITSM und die<br />
Netzwerkanalyse mit Nedi. n
Software<br />
www.linux-magazin.de Tooltipps 09/2012<br />
44<br />
Werkzeuge im Kurztest<br />
Tooltipps<br />
Pass 12 1.0<br />
Sichere Passwörter erzeugen<br />
Quelle: [https:// bitbucket. org/ alannear/<br />
pass12]<br />
Lizenz: GPLv3<br />
Alternativen: Pwgen, Passgen<br />
Daytime 0.4<br />
Flexibler Abgleich für alle Zeitprotokolle<br />
Quelle: [http:// sites. google. com/ site/<br />
columscode/ home/ daytime]<br />
Lizenz: GPLv3<br />
Alternativen: NTP, Openrdate<br />
Imvirt 0.9.4<br />
Virtuelle Maschinen erkennen<br />
Quelle: [http:// micky. ibh. net/ ~liske/ imvirt.<br />
html]<br />
Lizenz: GPLv2<br />
Alternativen: Sys::Detect::Virtualization,<br />
Virt-what<br />
Ist ein Kennwort zu einfach (Name des<br />
Partners, der Kinder oder Haustiere),<br />
knackt ein Wörterbuchangriff es in Windeseile.<br />
Anwender, die sich nicht selbst<br />
etwas ausdenken möchten, oder Admins,<br />
die Dutzende von sicheren Passwörtern<br />
im Akkord generieren müssen, erhalten<br />
Hilfe von Pass 12. Das Tool erstellt komplexe<br />
Kennwörter, die aus zwölf Zeichen<br />
bestehen. Neben dem Standard-Latin-<br />
Zeichensatz verwendet Pass 12 auch Ziffern<br />
und Sonderzeichen.<br />
Das C-Programm nutzt »/dev/urandom«,<br />
liest 16 Byte zufällige Daten aus und<br />
überträgt sie mit der Base64-Funktion in<br />
eine Ascii-Zeichenfolge. Auf Windows-<br />
Systemen verwendet Pass 12 in Ermangelung<br />
eines »urandom«-Device die Crypt-<br />
Gen-Random-Funktion des Crypto-API,<br />
um die 16 Byte Zufallsdaten zu erzeugen.<br />
Ohne Parameter aufgerufen erzeugt das<br />
Tool genau ein Passwort. Benötigt ein<br />
Anwender mehrere, übergibt er eine beliebige<br />
Ziffer im Aufruf. Alle neu generierten<br />
Kennwörter schreibt Pass 12 auf<br />
die Standardausgabe.<br />
★★★★★ Pass 12 erstellt schnell ausreichend<br />
komplexe Kennwörter. Wer hingegen<br />
spezielle Anforderungen stellt und<br />
Passwörter sucht, die man aussprechen<br />
kann oder die immer mit einem Buchstaben<br />
anfangen, der sollte zu einer alternativen<br />
Lösung greifen. <br />
n<br />
Daytime hält das Systeme up to date. Das<br />
kleine Tool zeigt wahlweise die aktuelle<br />
Zeit an oder aktualisiert die System- und<br />
Hardware-Uhr eines Rechners. Für Ersteres<br />
kommt der Parameter »‐s« zum Einsatz,<br />
Zweiteres verlangt nach »‐r«. Beide<br />
Aktionen benötigen Rootrechte. Daytime<br />
läuft nicht als Dienst im Hintergrund,<br />
sodass Anwender es für jeden Abgleich<br />
gezielt aufrufen müssen.<br />
Zur Ermittlung der Uhrzeit zapft Daytime<br />
mehrere Quellen im Internet an. Neben<br />
dem klassischen NTP-Protokoll (»‐sntp«)<br />
unterstützt das Tool auch Daytime-<br />
(»‐daytime«) und Time-Protokolle<br />
(»‐time«). Selbst via HTTP ermittelt es<br />
(»‐http«), was die Stunde geschlagen hat<br />
– ideal, falls eine restriktive Firewall die<br />
gängigen Protokolle blockiert.<br />
Wenn der Anwender keinen Server beim<br />
Aufruf übergibt, bedient sich Daytime seiner<br />
eigenen Zeitserver-Liste. Welche Stellen<br />
es dazu kontaktiert, verrät der Befehl<br />
»daytime ‐servers«. Ist der gewünschte<br />
Zeitdienst nicht auf dem Standardport<br />
verfügbar, können Nutzer über »‐p Port«<br />
einen anderen beim Aufruf angeben.<br />
★★★★★ Daytime ist dank vieler verschiedener<br />
Quellen im Netz stets auf der<br />
Höhe der Zeit. Einziges Manko ist, dass<br />
es nicht als Daemon im Hintergrund arbeitet.<br />
Dafür punktet es mit seiner leichten<br />
Bedienung.<br />
n<br />
Anwender, die via SSH mit einem System<br />
verbunden sind und darauf arbeiten,<br />
können meist nicht auf Anhieb sagen,<br />
ob sie sich in einer virtuellen Umgebung<br />
befinden oder nicht. Das Perl-Skript Imvirt<br />
verschafft mit einem einfachen Aufruf<br />
Klarheit darüber; Parameter kennt es<br />
nicht. Es nutzt im Hintergrund die Perl-<br />
Bibliothek »libimvirt« und durchforstet<br />
das System nach VM-typischen Hinweisen<br />
wie Bootmeldungen, Device-Bezeichnungen<br />
oder installierten Tools.<br />
Imvirt spürt nicht nur Klassiker wie<br />
VMware, Virtualbox und Xen auf, sondern<br />
auch Open VZ/Virtuozzo, Virtual<br />
PC/Virtual Server und LXC. Qemu und<br />
KVM sind derzeit noch als experimentell<br />
auf der Homepage gekennzeichnet. Da<br />
Imvirt bei der Ermittlung auf das Tool<br />
Dmidecode zurückgreift, das wiederum<br />
das Device »/dev/mem« kontrolliert,<br />
sind Rootrechte beim Aufruf erforderlich.<br />
Wie zuverlässig Imvirt tatsächlich<br />
arbeitet, lässt sich nicht genau sagen.<br />
Im Test erkannte das Tool eine VMware-<br />
Player-Session als »physical«, daher gibt<br />
es momentan noch Punktabzug.<br />
★★★★★ Mit Imvirt vergewissern sich<br />
Anwender schnell, ob ein System eine<br />
virtuelle Maschine ist – allerdings sind<br />
beim Einsatz wie auch bei vergleichbaren<br />
Skripten Rootrechte nötig.<br />
n
Barefootd 1.4.0<br />
Protokollunabhängiger Port-Bouncer<br />
Quelle: [http:// www. inet. no/ barefoot]<br />
Lizenz: BSD<br />
Alternativen: Delegated<br />
Iptstate 2.2.5<br />
IPtables-Verbindungen beobachten<br />
Quelle: [http:// www. phildev. net/ iptstate/]<br />
Lizenz: Zlib/Libpng<br />
Alternativen: keine<br />
Monitorix 2.5.2<br />
Systemauslastung protokollieren<br />
Quelle: [http:// www. monitorix. org]<br />
Lizenz: GPLv2<br />
Alternativen: Sysusage, Monit<br />
Tooltipps 09/2012<br />
Software<br />
www.linux-magazin.de<br />
45<br />
Der leistungsfähige Port-Bouncer Barefootd<br />
leitet eingehende TCP-Verbindungen<br />
oder UDP-Pakete an einen anderen<br />
Rechner um oder weiter. Damit eignet<br />
sich der Service als Zugangspunkt für<br />
externe Verbindungen, die er entweder<br />
weiterreicht oder blockt. Für den Client<br />
geschieht alles transparent, die Konfiguration<br />
findet auf Barefootd-Seite statt.<br />
Die Einrichtungsdatei gliedert sich in<br />
drei Bereiche für die Servereinstellungen,<br />
Regeln und Routen. Für den Server<br />
bestimmt der Nutzer die Adresse, auf der<br />
das Tool lauscht, die interne Adresse und<br />
die Logdatei. Stehen mehrere externe Adressen<br />
bereit, kann er auch eine Rotation<br />
zwischen diesen einrichten.<br />
Die Regeln definieren die Umleitung.<br />
Jede Regel besteht aus einem Block mit<br />
Regelsätzen. Barefootd unterscheidet dabei<br />
zwischen »client block« und »client<br />
pass«. Weitere Optionen wie »redirect«,<br />
»maxessions« oder »bandwith« bestimmen<br />
das Verhalten der jeweiligen Regel.<br />
Die Routen sind ähnlich aufgebaut und<br />
enthalten ebenfalls mehrere Blöcke mit<br />
Definitionen.<br />
Das Archiv enthält Beispiele, die den Einsatz<br />
von Regeln und Routen veranschaulichen.<br />
Ein Fehler hat sich allerdings bei<br />
den Regeln eingeschlichen: Hier fehlt das<br />
Schlüsselwort »client«, das einen Block<br />
einleitet. Anwender, die ihre eigene Konfiguration<br />
zunächst testen möchten, können<br />
das mit dem Aufruf »barefootd ‐V«<br />
gefahrlos tun.<br />
★★★★★ In einer DMZ eingesetzt sorgt<br />
Barefootd dafür, dass die eigentlichen<br />
Server im Hintergrund bleiben. Ein weiteres<br />
mögliches Einsatzszenario ist die<br />
virtuelle Zusammenführung mehrerer<br />
Dienste, die nach außen hin wie ein<br />
Rechner auftreten. <br />
n<br />
Was Top für die Prozesse, ist Iptstate<br />
für IPtables-Verbindungen. Der Monitor<br />
schaut auf die Stateful-Tabellen einer<br />
Firewall und erlaubt es Anwendern, in<br />
Echtzeit zu kontrollieren, welche Verbindungen<br />
gerade aktiv sind. Genau wie Top<br />
stellt das Tool die Verbindungen in einer<br />
übersichtlichen Liste dar, die in der Voreinstellung<br />
nach Quelladressen sortiert<br />
ist. Alternativ kann der Anwender die<br />
Informationen auch nach Zieladressen,<br />
Übertragungsprotokollen oder TTL ordnen,<br />
eine inverse Darstellung ist ebenfalls<br />
möglich.<br />
Wenn nicht anders angegeben, aktualisiert<br />
Iptstate seine Anzeige regelmäßig.<br />
Das Intervall übergibt der Nutzer hinter<br />
dem Parameter »‐R«. Ist das nicht gewünscht,<br />
sorgt »‐1« für eine Momentaufnahme<br />
und führt Iptstate genau einmal<br />
aus. In der Iptstate-Liste navigieren Anwender<br />
genau wie in Top. Über einen<br />
Druck auf [B] besteht zudem die Möglichkeit,<br />
die Sortierreihenfolge im laufenden<br />
Betrieb zu ändern.<br />
Zur besseren Orientierung hebt das Tool<br />
die einzelnen Protokolle farblich hervor.<br />
Ist das nicht gewünscht, schaltet die Option<br />
»-c« in den Schwarz-Weiß-Modus.<br />
Verschiedene Filter blenden außerdem gezielt<br />
Einträge aus. Vorgesehen sind Ports,<br />
Protokolle, Quell- und Zieladressen. In<br />
der Standardeinstellung ersetzt Iptstate<br />
IP-Adressen durch Hostnamen. Auf stark<br />
ausgelasteten Systemen ist dies jedoch<br />
nicht empfehlenswert, da die notwendige<br />
DNS-Abfrage zeitintensiv ist. Der Schalter<br />
»-L« deaktiviert den DNS-Lookup.<br />
★★★★★ Wer wissen möchte, welche<br />
Verbindungen eine Firewall gerade offenhält,<br />
für den ist Iptstate ein praktischer<br />
Monitor. Das Tool stellt die erfassten Informationen<br />
optisch ansprechend dar. n<br />
Der Name ist Programm bei diesem Tool.<br />
Mit Argusaugen wacht Monitorix über<br />
Dienste und Ressourcen eines Systems.<br />
Die History und den aktuellen Status erreichen<br />
Anwender über eine Webseite.<br />
Verschiedene Graphen stellen den Systemzustand<br />
übersichtlich dar. Auf Wunsch<br />
alarmiert Monitorix den Anwender, falls<br />
ein Schwellenwert überschritten wird. In<br />
der Voreinstellung beobachtet das Tool<br />
System- und Kernelaktionen, Netzaktivitäten<br />
und »/proc«-Dateisysteme. Optional<br />
observiert es auch Webserver, Proxydienste<br />
oder Datenbanken.<br />
Monitorix besteht aus mehreren Komponenten.<br />
Das Perl-Skript »monitorix«<br />
sammelt als Dienst im Hintergrund die<br />
Daten. Die Webseiten mit den Ergebnissen<br />
erzeugt das CGI-Skript »monitorix.<br />
cgi«. Zudem enthält das Quellarchiv zahlreiche<br />
Helferskripte, die Monitorix etwa<br />
in den System-V-Bootvorgang integrieren.<br />
Ebenfalls dabei sind Konfigurationsbeispiele<br />
für die Nutzung mit Apache, Light<br />
HTTPD und Logrotate.<br />
Die Einrichtung erfolgt über die Datei<br />
»/etc/monitorix.conf«, in der Anwender<br />
die Pfade festlegen und die Logs angeben,<br />
die das Tool im Auge behalten soll.<br />
Die Konfiguration definiert ebenfalls, für<br />
welche Komponenten Monitorix Daten<br />
erfasst. Diese landen im RRD-Format<br />
in dem Verzeichnis »/var/lib/monitorix«,<br />
das CGI-Skript erzeugt daraus die<br />
grafischen Statistiken für die tägliche,<br />
wöchentliche, monatliche und jährliche<br />
Auslastung.<br />
★★★★★ Monitorix ist eine vielseitige<br />
lokale Monitoring-Lösung, die wichtige<br />
Komponenten überwacht und mit einer<br />
umfangreichen und übersichtlichen Darstellung<br />
punktet. (U. Vollbracht/hej) n
Software<br />
www.linux-magazin.de Bitparade 09/2012<br />
46<br />
Fünf Contentmanagement-Systeme im Test<br />
Früh erfolgreich<br />
Wer wenig Vorwissen und wenig Zeit hat und trotzdem eine Website mit ansprechendem Design will, der<br />
braucht gute Beratung bei der Wahl des Contentmanagement-Systems. Fünf Open-Source-CMS bestechen<br />
durch eine niedrige Lernkurve und versprechen schnellen Erfolg. Carola Heine<br />
© Robert Hainer, 123RF.com<br />
Contentmanagement-Systeme in jeder<br />
Größenordnung und Preislage werben<br />
um die Gunst derer, die Inhalte ins Netz<br />
stellen wollen. Ob komplexe Enterpriseund<br />
Kollaborationslösungen, einfache<br />
Community-Anwendungen mit und ohne<br />
Datenbank, linzenzpflichtige und Open-<br />
Source-Systeme – für jeden ist etwas<br />
dabei. Fragt man einen Webprofi nach<br />
der besten Anwendung für den eigenen<br />
Zweck, wird er meist jene anpreisen, in<br />
die er sich selbst zufriedenstellend eingearbeitet<br />
hat. Das gilt auch dann noch,<br />
wenn ein anderes System längst bessere<br />
Funktionen mitbringt – der Mensch ist<br />
eben ein Gewohnheitstier.<br />
Bevor ein Nutzer sich also für ein neues<br />
CMS auf dem eigenen Webserver entscheidet,<br />
sollte er sorgfältig prüfen, an<br />
welches er sich langfristig binden möchte.<br />
Die Installationsroutine ist in der Regel<br />
nicht ausschlaggebend. Bei den meisten<br />
Systemen wählt der Anwender eine Domain<br />
oder ein Verzeichnis aus und hält<br />
die Zugangsdaten für die (MySQL-)Datenbank<br />
bereit, die im Hintergrund läuft.<br />
Dann entpackt er die aktuelle CMS-Version<br />
und bringt alle Ordner und Dateien<br />
in den Webspace.<br />
Die Installationsdatei rufen Nutzer typischerweise<br />
im Browser auf, erstellen<br />
einen Admin-Account, tragen den Datenbankzugang<br />
ein und bestätigen ihn.<br />
Der frischgebackene CMS-Admin kann<br />
sich nun einloggen und mit dem Default-<br />
Template loslegen.<br />
CMS made simple, Concrete 5, Pivot X,<br />
Redaxo und Wordpress sollten im Test zeigen,<br />
wie schnell Anwender ohne Grundkenntnisse<br />
mit ihnen zu einer neuen Site<br />
gelangen, von der Konzept und Inhalt bereits<br />
bestehen. Neben Funktionsumfang<br />
und der Erweiterbarkeit durch Module<br />
und Plugins stellten die fünf freien CMS<br />
ihre Gestaltungsfähigkeit in Bezug auf<br />
fertige Templates unter Beweis.<br />
Ebenso fragten die Tester nach der Möglichkeit,<br />
eigene Designs zu integrieren,<br />
nach der Suchmaschinen-Freundlichkeit<br />
der Strukturen, nach Social-Media-Integration,<br />
nach Spam-Abwehrmechanismen<br />
und allgemeinen Sicherheitsaspekten sowie<br />
dem Ablauf bei Updates. Als Testrechner<br />
diente ein Standard-LAMP-System<br />
(<strong>Linux</strong>, Apache, MySQL, PHP), wie<br />
es bei typischen Webhosting-Anbietern<br />
zum Einsatz kommt.<br />
E CMS made simple<br />
Der Name ist Programm: Dieses CMS will<br />
es Anwendern möglichst leicht machen,<br />
professionelle Websites aufzuziehen. Das<br />
moderne und tatsächlich sehr intuitiv zu<br />
bedienende GPL-lizenzierte CMS made<br />
simple [1] ist modular aufgebaut und eignet<br />
sich sowohl für schlichte Websites als<br />
auch für komplexere bis mittelgroße Unternehmenspräsentationen.<br />
Die Projektseite<br />
stellt jeweils zwei Versionen zum<br />
Download bereit: eine Basisvariante, die<br />
nur die englischen Sprachdateien enthält,<br />
und eine vollständige Ausgabe mit allen<br />
verfügbaren Sprachdateien. Zusätzlich<br />
stehen zahlreiche Module und Plugins<br />
unter [2] bereit.<br />
Ein Assistent führt Schritt für Schritt<br />
durch die Installation, so können auch<br />
Einsteiger in wenigen Minuten eine lauffähige<br />
Version mit Dummy-Inhalten online<br />
stellen. Im Test trat Version 1.10.3,<br />
Codename Hyacinthe, an. Um eine Basisinstallation<br />
von CMS made simple zu
www.linux-magazin.de<br />
Bitparade 09/2012<br />
Software<br />
47<br />
Abbildung 1: Eine Standardinstallation von CMS made simple enthält das Modul<br />
»ThemeManager«, über das Anwender eines oder mehrere Themes im- und<br />
exportieren.<br />
Abbildung 2: CMS made simple bietet ein praktisches Feature, über das Anwender<br />
Inhalte oder XHTML-Schnipsel in Seiten und Templates einfügen können.<br />
Diese globalen Inhaltsblöcke verwaltet das CMS im Bereich »Inhalte«.<br />
betreiben, sind nicht mal XHTML- oder<br />
CSS-Kenntnisse erforderlich. Diese benötigen<br />
Anwender erst dann, wenn sie das<br />
Screendesign an eigene Vorstellungen anpassen<br />
möchten. Der erste Testkandidat<br />
verwendet die Template-Engine Smarty<br />
[3], fügt Platzhalter für Inhalte und Navigation<br />
in die XHTML-Layouts ein und<br />
generiert eine Seite, sobald ein Nutzer<br />
diese im Browser öffnet.<br />
Themes steuern das Aussehen der Webseiten.<br />
Sie bestehen aus Templates, Stylesheets<br />
und Bildern, wobei die ersten<br />
beiden Komponenten entweder in der<br />
Datenbank liegen können oder Anwender<br />
sie bei Bedarf als externe Dateien<br />
einbinden. Eine frische Installation liefert<br />
einige einfache Templates und Themes<br />
mit; weitere finden Anwender unter [4].<br />
Diese importieren sie dank des Moduls<br />
»ThemeManager«, das auch eigene Templates<br />
und die damit verbundenen Stylesheets<br />
im XML-Format exportiert (siehe<br />
Abbildung 1).<br />
Bei der Aufbereitung des Inhalts hilft ein<br />
Javascript-basierter Wysiwyg-Editor, der<br />
auch das Umschalten in die Quellcodeansicht<br />
erlaubt. In der Voreinstellung ist<br />
dies Micro Tiny, eine Light-Variante von<br />
Tiny MCE [5]. Nutzer, die lieber in einem<br />
anderen Bearbeitungsprogramm schreiben,<br />
können weitere Editoren als Modul<br />
über »Erweiterungen | ModulManager«<br />
installieren, darunter Ace Editor, Inline<br />
Edit und Tiny MCE selbst. Für sich wiederholende<br />
Bestandteile legen Anwender<br />
eigene Bausteine an, die so genannten<br />
globalen Inhaltsblöcke. Diese fügen sie<br />
in Seiten oder Templates ein, bei Bedarf<br />
auch mehrfach (siehe Abbildung 2).<br />
Aufgestockt<br />
Wie bereits erwähnt: Es gibt für CMS<br />
made simple etliche Module, die den<br />
Funktionsumfang vergrößern. Diese Erweiterungen<br />
stellen komplexe und vielfältig<br />
einsetzbare Anwendungen bereit.<br />
Ein Modul hat im Normalfall einen eigenen<br />
Administrationsbereich und greift auf<br />
ein gut dokumentiertes API zu. Beliebte<br />
Module für den ersten Testkandidaten<br />
sind etwa die Bildergalerie, ein Kalender,<br />
ein Formbuilder für komplexe Formulare<br />
und ein Modul zur Zugriffssteuerung für<br />
geschützte Seiten.<br />
Zudem bringt das Contentmanagement-<br />
System so genannte Tags mit. Einige<br />
sind von Haus aus dabei, etwa »{breadcrumbs}«<br />
(Brotkrumen-Navigation) oder<br />
»{content}«, das den Inhalt der jeweils<br />
aktuellen Seite anzeigt. Es stehen ebenfalls<br />
Tags zur Ausgabe des Datums oder<br />
der letzten Seitenänderung zur Verfügung.<br />
Benutzerdefinierte Tags sind einfache<br />
PHP-Codeschnipsel (ohne »«), die in PHP erstellte Funktionen<br />
an der gewünschten Stelle in einer<br />
Site aufrufen.<br />
Mit CMS made simple erstellte Seiten<br />
erfüllen diverse Kriterien, die für die<br />
Suchmaschinen-Optimierung erforderlich<br />
sind, zumindest was die mitinstallierten<br />
Standard-Templates betrifft. Suchmaschinen-freundliche<br />
URLs heißen bei diesem<br />
System Pretty URLs. Alle Eigenkreationen<br />
sollten Anwender sorgfältig auf saubere<br />
Dokumentstrukturen sowie validen und<br />
schlanken Quelltext prüfen. Relevante<br />
Inhalte beginnen schon bei Seitentitel,<br />
Dateinamen, sinnvollen Überschriften<br />
und aktuellem Content ohne Keyword-<br />
Spamming. Das Benutzerforum bietet<br />
eine spezielle SEO-Gruppe [6], die Tipps<br />
und Tricks verrät.<br />
Das Plugin Social Bookmarking, das Anwender<br />
wie die anderen Erweiterungen<br />
unter [2] finden, spricht bis zu 90 Social-<br />
Media-Plattformen an, darunter natürlich<br />
die populären Dienste Facebook, Twitter,<br />
Linkedin, Myspace und Google+. Im<br />
deutschsprachigen Supportforum gibt es<br />
eine kleine Anleitung dazu, wie man den<br />
Facebook-Button »Like« mit der mitgelieferten<br />
Funktion für kanonische URLs in<br />
CMS made simple umsetzt [7].<br />
Auch zur Beschleunigung von Ladezeiten<br />
bei großem Andrang (Caching) und<br />
zur Spamabwehr greift der erste Testkandidat<br />
auf eine Erweiterung zurück.<br />
Ersteres erledigt das Modul CMS make<br />
faster, fürs Zweite springt Akismet [8]<br />
in die Bresche. Der beliebte Filterservice,<br />
der ursprünglich als Plugin für Wordpress<br />
konzipiert war, schützt als Modul<br />
auch CMS made simple vor Linkspam<br />
und Trackbackspam. Zusätzlich stehen<br />
Hide Email from Bots Tag als Plugin bereit,<br />
um Mailadressen der Website in Bilder<br />
umzuwandeln, und Captchas für die<br />
Kommentarfunktion.<br />
Ein Upgrade zu einer neuen Programmversion<br />
läuft nicht via Admin-Interface,<br />
sondern beinhaltet manuelles Sichern
Software<br />
www.linux-magazin.de Bitparade 09/2012<br />
48<br />
Nach der Installation stehen mehrere<br />
vorinstallierte Designs zur Auswahl.<br />
Ein Klick auf »Customize« neben einem<br />
Theme öffnet einen Editor, der dabei<br />
hilft, die Komponenten des CSS-Stylesheet<br />
anzupassen. Farben und Schriftarten<br />
ändern Nutzer so bequem und ohne<br />
Eingriffe in den Quelltext (siehe Abbildung<br />
4). Alternativ kaufen sie Themes<br />
und Addons auf dem Marketplace des<br />
Herstellers ein [11].<br />
Einige Erweiterungen sind kostenlos, andere<br />
für 15 bis 50 US-Dollar zu haben,<br />
nur selten kostet etwas mehr als 100 US-<br />
Dollar. Der Markt bietet praktische Filter<br />
und sortiert das Angebot nach Preis, Popularität,<br />
Kategorie, Design oder Lernstand<br />
und Schwierigkeitsgrad.<br />
Wer tiefer in die Materie einsteigen will,<br />
der sollte die Dokumentation auf der Projekthomepage<br />
heranziehen. Hier finden<br />
Benutzer und Entwickler Anleitungen<br />
zum System selbst, zu Addons, Themes<br />
und Applications sowie ein Glossar. Viele<br />
hilfreiche Artikel zu Concrete 5 bietet<br />
auch das Blog Codeblog.ch, das unter anderem<br />
einen Leitfaden veröffentlicht, wie<br />
Anwender Layouts anpassen, wenn einder<br />
Datenbank und der Dateien aus dem<br />
CMS-Verzeichnis sowie Download und<br />
Entpacken der neuen Version auf den Server.<br />
Danach nimmt das Skript »CMS‐Verzeichnis/install/upgrade.php«<br />
die notwendigen<br />
Änderungen an der Datenbank<br />
vor. War die Aktualisierung erfolgreich,<br />
können Anwender das Verzeichnis »install«<br />
auf dem Server löschen.<br />
Geht es lediglich um das Einspielen eines<br />
Patch, haben Nutzer es etwas leichter<br />
und müssen nur den Inhalt des »diff«-<br />
Archivs auf den Server kopieren. Der Einsatz<br />
eines »upgrade«-Skripts ist in diesem<br />
Fall nicht erforderlich.<br />
E Concrete 5<br />
Der Slogan des zweiten Kandidaten lautet<br />
zu Recht: „Made for Marketing, built for<br />
Geeks.“ Concrete 5 [9] setzt auf Stabilität<br />
und punktet mit einfacher Bedienung.<br />
Benutzer werden die niedrige Lernkurve<br />
lieben, ebenso wie Developer die vielen<br />
flexiblen Anpassungsmöglichkeiten bei<br />
der Entwicklung der Projektumgebung<br />
schätzen. Als Application Framework basiert<br />
das System auf dem leistungsfähigen<br />
ADODB Database Framework [10] und<br />
bietet damit Zugang zu Data Caching auf<br />
Query-Level, Tabellen im XML-Format<br />
und Data Portability. Das unter der MIT-<br />
Lizenz veröffentlichte Tool trat im Test in<br />
Version 5.5.2.1 an.<br />
Zielgruppe des CMS sind Redakteure und<br />
Entwickler von kleinen bis mittelgroßen<br />
Sites und Communities. Laut Aussagen<br />
der Entwickler eignet es sich weniger für<br />
Portale und auch nicht für Applikationen<br />
wie abgesichertes Banking, Microblogging-Communities,<br />
Seiten mit viel Flash-<br />
Inhalt oder große Shops.<br />
Bei der Installation unterscheidet sich<br />
Concrete 5 minimal von den anderen vier<br />
Kandidaten: Als einziges System kann der<br />
Admin es nur in einer leeren Datenbank<br />
installieren. Im Standardumfang sind eine<br />
Slideshow-Funktion, Youtube-Integration,<br />
Flash-Support, Umfragemodule, Abstimmungen,<br />
Suche, Sitemap, RSS, Secure<br />
File Distribution, Google Maps und ein<br />
Tool für die Formularerstellung enthalten.<br />
Flexible Metadaten und Suchmaschinenfreundliche<br />
URLs gehören dazu.<br />
Das CMS startet nach der Installation mit<br />
einem klaren und übersichtlichen zweispaltigen<br />
Look für den Contentbereich<br />
Abbildung 3: Einige Elemente der Website verschieben Nutzer komfortabel per Drag & Drop im Browser an<br />
einen neuen Ort. Welche Bestandteile auf diese Weise wandern können, zeigen die gestrichelten Linien an.<br />
und die Seitenleiste. Die Titelgrafik und<br />
die Navigation befinden sich oben. Das<br />
Default-Template bringt eine fertige Startseite,<br />
eine Seite namens About inklusive<br />
Gästebuch, ein Blog und eine eingebaute<br />
Suchmaske samt Sitemap mit. Trotz des<br />
beachtlichen Funktionsumfangs ist Concrete<br />
5 nicht überladen, der Benutzer<br />
kann sofort loslegen.<br />
Anwender benötigen keine fünf Stunden,<br />
um vorbereitete Inhalte in eine<br />
Concrete-5-Seite einzustellen. Zwar gilt<br />
es zunächst, sich ein oder höchstens zwei<br />
Stündchen einzuarbeiten, danach sollten<br />
aber auch Nutzer ohne technische<br />
Vorkenntnisse in der Lage sein, direkt<br />
im Frontend umfangreiche Seiten zu erstellen.<br />
Dabei helfen die Funktionen, die<br />
der angemeldete Admin über das Menü<br />
»Edit« oben links ausklappt.<br />
Einzelne Bestandteile der Seite kann er<br />
darüber hinaus anklicken und direkt<br />
bearbeiten, kopieren, mit der Maus per<br />
Drag & Drop verschieben oder löschen<br />
(Abbildung 3). Der berühmte Baukasten<br />
„Zur eigenen Website in 10 Minuten“<br />
großer Provider hat damit einen ernst zu<br />
nehmenden Konkurrenten.<br />
Fortgeschrittene Funktionen und Konfigurationseinstellungen<br />
erreichen Nutzer<br />
auch beim zweiten Testkandidaten über<br />
das Dashboard, das sie per Mausklick<br />
auf den gleichnamigen Link rechts oben<br />
öffnen. Neue Seiten und Artikel entstehen<br />
im Composer, Sitemap und Dateimanager<br />
haben eigene Sektionen. Auch<br />
die Benutzer- und Gruppenverwaltung<br />
sowie verschiedene Protokolle erreichen<br />
Admins dort.<br />
Weniger ist mehr
Abbildung 4: CSS leicht gemacht: In diesem praktischen Editor bestimmen Nutzer die Farbe ihrer Website,<br />
wie Hintergrund und Links aussehen und die verwendeten Fonts.<br />
fache Veränderungen am CSS-Code nicht<br />
ausreichen [12], beispielsweise weil das<br />
Default-Template nicht für Suchmaschinen<br />
optimiert ist.<br />
Auch Concrete 5 integriert Social-Media-<br />
Funktionen über ein Addon. Socializer<br />
ist über den Marketplace erhältlich und<br />
fügt Symbole der Dienste Google+,<br />
Facebook, Twitter, Linkedin und so weiter<br />
zu den Seiten hinzu. Das Addon erweitern<br />
Benutzer auf Wunsch um eigene<br />
Netzwerke.<br />
Dieser Testkandidat bringt von Haus aus<br />
ein Cachingsystem mit und nutzt dazu<br />
den Manager des Zend-Framework [13].<br />
Spam bekämpft das Addon Defensio, das<br />
Anwender wiederum im Marketplace finden.<br />
Es filtert nicht nur Spam in Kommentaren,<br />
sondern auch Bots, die eine<br />
Site nach Mailadressen durchsuchen und<br />
schädliche Skripte einzufügen versuchen.<br />
Das Gästebuch der About-Seite und die<br />
Kommentarfunktion für das Blog sind<br />
in der Voreinstellung durch Captchas<br />
geschützt. Upgrades können Admins<br />
im laufenden Betrieb durchführen. Das<br />
Dashboard bietet dazu im Bereich »System<br />
& Settings« eine eigene Abteilung.<br />
E Pivot X<br />
[14] mit seinen statischen Strukturen galt<br />
damals wie heute als echte Alternative,<br />
auch wenn das System ohne Datenbank<br />
buchstäblich Hunderte von HTML-Seiten<br />
und Zusatzdateien für jedes Blog und<br />
jede Site generiert.<br />
Das unter der GPLv2 veröffentlichte CMS<br />
bietet Benutzern nach wie vor eine Flat-<br />
Files-Installation ohne MySQL an. PHP<br />
ist aber in jedem Fall Voraussetzung. Der<br />
Vorteil einer Instanz ohne Datenbank:<br />
schnellere Ladezeiten und unkomplizierte<br />
Backups. Pivot X auf Basis von MySQL ist<br />
für größere Projekte allerdings immer die<br />
bessere Wahl, denn es ermöglicht eine<br />
ausgefeiltere Suche und bietet generell<br />
mehr Flexibilität. Wer die Flat-Files-Version<br />
wieder in eine Datenbank-basierte<br />
Ausgabe umwandeln möchte, der findet<br />
unter [15] ein Importskript.<br />
Im Test trat Version 2.3.3 an. Die jeweils<br />
aktuelle Version ist im Downloadbereich<br />
unter »pivotx_latest.zip« verlinkt. Um<br />
Pivot X in einer anderen Sprache als<br />
Englisch zu betreiben, laden Anwender<br />
die kompilierten Sprachdateien (Datei-<br />
Endung ».mo«) von [16] herunter und<br />
speichern sie im Ordner »pivotx/langs«<br />
auf dem Webserver.<br />
In einer einzigen Installation verwaltet Pivot<br />
X mehrere Weblogs, die alle getrennt<br />
konfigurierbar sind und unterschiedliche<br />
Sprachen, Themes, Kategorien und RSS-<br />
Feeds haben können. Der Admin richtet<br />
auf Wunsch für jede Site eigene Redakteurszugänge<br />
mit unterschiedlichen<br />
Rechten ein.<br />
Für das Anlegen der Artikel steht Nutzern<br />
der Wysiwyg-Editor Tiny MCE [5]<br />
zur Verfügung. Alternativ geben sie<br />
(X)HTML-Code von Hand ein (Abbildung<br />
5). Bilder, Popups, Downloadlinks<br />
Bitparade 09/2012<br />
Software<br />
www.linux-magazin.de<br />
49<br />
Der dritte Kandidat hat niederländische<br />
Wurzeln und ist bereits seit 2001 auf dem<br />
Markt, als Webspace mit Datenbankanbindung<br />
noch relativ teuer war. Pivot X<br />
Abbildung 5: Pivot X setzt auf den Wysiwyg-Editor Tiny MCE. Ein Klick auf den HTML-Knopf zeigt den Quellcode<br />
von Seiten und Artikeln in einem Popup-Fenster.
Software<br />
www.linux-magazin.de Bitparade 09/2012<br />
50<br />
Download und Entpacken des jeweiligen<br />
Zip-Archivs. Dabei sollten sie darauf achten,<br />
die drei Verzeichnisse »images«, »pivotx/db«<br />
und »pivotx/templates« nicht<br />
zu überschreiben beziehungsweise eine<br />
Sicherungskopie von diesen anzulegen<br />
und nach der Neuinstallation zurückzuspielen.<br />
Die Entwickler bieten außerdem<br />
ein Skript an, das Wordpress-Seiten importiert.<br />
Hinweise zur Konvertierung von<br />
Wordpress nach Pivot X gibt die Dokumentation<br />
[17].<br />
E Redaxo<br />
Abbildung 6: Über das Dashboard erreichen Admins im Bereich »Wartung« die mitgelieferten Antispam-<br />
Maßnahmen. Ein allgemeines oder auf einzelne Benutzer zugeschnittenes Quiz ist schnell eingerichtet.<br />
und andere Dateien binden Anwender<br />
direkt bei der Erstellung der Seiten ein,<br />
ohne den Editor verlassen zu müssen. Pivot<br />
X setzt genau wie CMS made simple<br />
auf die Template-Engine Smarty [3], die<br />
nicht nur für die Seiten selbst, sondern<br />
auch im Admin-Interface zum Einsatz<br />
kommt. Smarty fügt außerdem passende<br />
Javascript-Codeschnipsel ins Webprojekt<br />
ein, wenn Nutzer Popups oder Widgets<br />
integrieren.<br />
Etwas unhandlich ist es, neue Themes<br />
einzurichten. Diese laden Admins als Zip-<br />
Datei von der Projektseite herunter und<br />
entpacken sie im Verzeichnis »pivotx/<br />
templates« auf dem Webserver – direkt<br />
über das Dashboard einen neuen Look<br />
herunterladen gelingt nicht.<br />
Auf Umwegen<br />
Erweiterungen holen sich Anwender<br />
ebenfalls als Zip-Datei von der Pivot-X-<br />
Webseite (Abteilung »Extensions«). Sie<br />
entpacken das Archiv dazu im Verzeichnis<br />
»pivotx/extensions«. Auf diese Weise<br />
rüsten sie beispielsweise Suchmaschinenfreundlichkeit<br />
nach. Die Erweiterung SEO<br />
(Search Engine Optimization) ermöglicht<br />
es, die »meta«-Tags einer Website schnell<br />
und komfortabel zu verwalten. Sie fügt<br />
die entsprechenden Tags auch gleich zu<br />
allen Unterseiten hinzu.<br />
Die Startseite und andere Seiten haben<br />
generische Tags, die Artikel spezifische,<br />
an die Seite angepasste. Benutzer dürfen<br />
Standard-Tags definieren, die auf Seiten<br />
ohne Blogeinträge zum Einsatz kommen,<br />
und eigene Tags zusätzlich zu den automatisch<br />
generierten einsetzen. Außerdem<br />
erlaubt es Pivot X, Copyright-Text, Dublin-Core-Tags<br />
sowie weitere freie Formate<br />
und »meta«-Tags einzurichten.<br />
Zur Einbindung von Social-Media-Funktionen<br />
schauen sich Anwender ebenfalls<br />
auf der Extensions-Seite um. Dort gibt<br />
es unter anderem ein Lifestream-Widget<br />
(zeigt letzte Tweets, Erwähnungen<br />
auf Twitter, Last.fm-Songs und Flickr-<br />
Uploads an), den Facebook-Like-Button<br />
(fügt eine Schaltfläche »Like« zu Seiten<br />
und Artikeln hinzu) und einen Twitter-<br />
Button (Besucher können Links zu Seiten<br />
und Blogeinträgen auf Twitter posten) im<br />
Angebot.<br />
Dieser Testkandidat bringt ebenso wie<br />
Concrete 5 ein eigenes Cachingsystem<br />
mit. Optionen dazu finden Admins im<br />
Dashboard in den allgemeinen Einstellungen.<br />
Spamabwehr berücksichtigt<br />
Pivot X von Haus aus. Hashcash und<br />
ein Spamquiz sind bereits in der Basisinstallation<br />
enthalten und schnell aktiviert<br />
beziehungsweise eingerichtet (siehe<br />
Abbildung 6). Bekannte Sicherheitslücken<br />
und entsprechende Patches finden<br />
Anwender auf der Projektseite im Bereich<br />
»Security«.<br />
Ein Updatemechanismus ist nicht über<br />
das Dashboard erreichbar. Neue Versionen<br />
installieren Administratoren nach<br />
dem Backup wiederum händisch über<br />
Das modular aufgebaute Redaxo [18]<br />
zielt auf kleine bis mittelgroße barrierefreie<br />
Sites auch mit höheren Besucherzahlen.<br />
Das Open-Source-CMS ist bereits<br />
seit 1999 auf dem Markt. Die Macher verbessern<br />
und erweitern es stetig, um den<br />
wachsenden Anforderungen an modernes<br />
Webdesign erfolgreich standzuhalten<br />
– die über 1760 auf der Projektseite<br />
genannten Referenzinstallationen zeugen<br />
davon, dass den Entwicklern dies auch<br />
zufriedenstellend gelingt.<br />
Bis einschließlich Version 4 stand Redaxo<br />
unter der GPL; mit der kommenden Version<br />
5 stellen die Entwickler es unter die<br />
MIT-Lizenz. Redaxo 5 auf Basis von PHP<br />
5.3 ist bereits seit einiger Zeit in Arbeit.<br />
Die Neuauflage hat vor allem das Ziel,<br />
viele Altlasten abzuwerfen und Updates<br />
direkt aus dem Admin-Interface heraus<br />
zu ermöglichen. Im Test ging Version<br />
4.3.3 an den Start.<br />
Das Contentmanagement-System ist in<br />
zehn Minuten betriebsbereit – wenn sich<br />
der Anwender auf die reine Basisinstallation<br />
ohne weitere Ergänzungen beschränkt.<br />
Erweiterungen sind allerdings<br />
praktisch unumgänglich bei Redaxo,<br />
und so werden aus den zehn Minuten<br />
schnell fünf bis acht Stunden, denn vom<br />
Newsletter über das Blog bis hin zur<br />
Brotkrumen-Navigation setzt das CMS<br />
auf Module.<br />
Auf ein grafisch überladenes Backend<br />
verzichtet Redaxo. Die schlanke Basisinstallation<br />
konzentriert sich auf das<br />
Wesentliche, daher haben Benutzer mit<br />
Grundkenntnissen in (X)HTML und PHP<br />
schneller Erfolgserlebnisse zu erwarten<br />
als blutige Anfänger. Als der größte<br />
Pluspunkt des vierten Testkandidaten erweist<br />
sich die absolute Kontrolle über die
Qualität des Quellcodes. Sauberes CSS,<br />
barrierefreie Seiten und eine bis ins Detail<br />
kontrollierbare Ausgabe von Daten<br />
im Browser sind erreichbar. Mit diesem<br />
CMS ist es möglich, die Seiten – wenn<br />
erforderlich – mit Addons anzupassen,<br />
was besonders dann zum Tragen kommt,<br />
wenn eine Site bis ins letzte Detail barrierefrei<br />
sein soll.<br />
Redaxo setzt für das Verfassen von Artikeln<br />
und Seiten auf Textile ([19], Abbildung<br />
7). Die Textauszeichnungssprache<br />
stellt entsprechend aufbereitete Textblöcke<br />
bereit und wandelt den formatierten<br />
Text in validen XHTML-Quelltext um. Das<br />
vereinfachte Markup erinnert an Wiki-<br />
Syntax und versucht auch für Laien leicht<br />
verständlich zu sein. Die Formatierung erfolgt<br />
über bestimmte Abkürzungen oder<br />
Zeichen, Anwender zeichnen mit ihnen<br />
Zeilenumbrüche, Absätze, Überschriften,<br />
Links und vieles andere aus. Wer<br />
sich nicht in Textile einarbeiten möchte<br />
oder einen Wysiwyg-Editor bevorzugt,<br />
der kann etwa auf Tiny MCE ausweichen<br />
und diesen als Addon einbinden.<br />
Roter Faden<br />
Abbildung 7: In der Voreinstellung liefert Redaxo keinen Wysiwyg-Editor mit, sondern setzt für das Verfassen<br />
der Artikel und Seiten auf Textile und vorgefertigte Textblöcke.<br />
Das Admin-Interface von Redaxo ist<br />
klar strukturiert und punktet mit Übersichtlichkeit.<br />
In der Strukturverwaltung<br />
schrei ben, verändern und löschen die<br />
Anwender Artikel oder Seiten, wählen<br />
Templates für diese aus und schalten<br />
Elemente online und offline. Ein Klick<br />
auf »Medienpool« öffnet ein Popup, hier<br />
laden sie Dateien auf den Server (Skripte,<br />
Stylesheets, Videos, Bilder, Dokumente<br />
und so weiter). Aus dem Medienpool heraus<br />
bestimmen sie auch Attribute wie<br />
Linktitel oder Alternativtext.<br />
Über die linke Leiste sind Benutzerverwaltung<br />
und Rechtevergabe erreichbar.<br />
Redaxo bietet ein ausgefeiltes System<br />
und kann beispielsweise die Templates<br />
und Module für Redakteure ohne Programmierkenntnisse<br />
sperren, den Medienpool<br />
aber freischalten. Außerdem ist<br />
es möglich, in der Strukturverwaltung<br />
bestimmte Kategorien und Artikel freizugeben<br />
oder die Bearbeitung von Seiten<br />
zu sperren.<br />
Weitere Features integriert das CMS über<br />
Module und Addons. Es bringt bereits<br />
von Haus aus einige System-Addons mit,<br />
die Anwender nur noch per Klick installieren<br />
und aktivieren müssen. Andere<br />
laden sie über den Downloadbereich<br />
der Webseite herunter, entpacken sie<br />
im Verzeichnis »redaxo/include/addon«<br />
und installieren und aktivieren sie über<br />
das Admin-Interface. Zu den beliebten<br />
Addons gehören Newsletter, Formularfunktionen,<br />
Gästebuch, Blog, Brotkrumen-Navigation,<br />
Sitemap, RSS-Reader,<br />
Such- und Statistikfunktionen. Besonders<br />
interessant für Webentwickler ist die Erweiterung<br />
»AddonDeveloper2« [20] von<br />
Gregor Harlan, mit der Nutzer Module,<br />
Templates und Aktionen direkt über das<br />
Dateisystem in ihrem bevorzugten Editor<br />
bearbeiten.<br />
Module benötigt Redaxo, um die Artikel<br />
mit Inhalt zu füllen. So ermöglicht<br />
Abbildung 8: Das »Headline«-Modul erlaubt es, Überschriften einzugeben. In diesem Bereich passen Administratoren<br />
die Textbausteine an oder löschen nicht länger benötigte.<br />
Bitparade 09/2012<br />
Software<br />
www.linux-magazin.de<br />
51
Software<br />
www.linux-magazin.de Bitparade 09/2012<br />
52<br />
»Headline« zum Beispiel, eine Überschrift<br />
einzutippen (siehe Abbildung 8), und<br />
über »Bildergalerie« gibt ein Redakteur<br />
eine Auswahl von Grafiken vor, die in<br />
einer Galerie auftauchen. Nach einer Redaxo-Installation<br />
ist die Liste der Module<br />
zunächst leer, Admins erstellen die Module<br />
entweder selbst oder laden sie aus<br />
dem Downloadbereich herunter. Möchte<br />
ein Administrator selbst einen solchen<br />
Baustein definieren oder anpassen, verwendet<br />
er Redaxo-Variablen. Erklärungen<br />
bietet die Dokumentation auf der<br />
Projektseite.<br />
Templates bestimmen auch bei diesem<br />
Testkandidaten das Layout von Seiten<br />
und Artikeln. Sie definieren die generelle<br />
Struktur des Artikels samt der Navigation.<br />
Es ist möglich, »meta«-Tags, Stylesheets<br />
und Javascript einzubinden. Templates<br />
können Nutzer nicht nur für Artikel<br />
und Seiten auswählen, sondern auch<br />
in andere Templates einbinden. Hilfe zu<br />
diesem komplexen Thema sowie ein Videotutorial<br />
vermittelt das Benutzerhandbuch<br />
auf der Redaxo-Webseite.<br />
Suchmaschinen-freundliche URLs beziehungsweise<br />
sprechende Dateinamen und<br />
‐pfade, individuelle Titel für Artikelseiten,<br />
Formatierung der Überschriften von<br />
H1 bis H4 und Brotkrumen-Navigation<br />
setzen Anwender mit Redaxo schnell<br />
und komfortabel um. URLs, die nach den<br />
Kategorien und Artikeln benannt sind,<br />
erzeugt das Addon Realurl. Außerdem gehören<br />
Sitemaps und Textlink-Navigation,<br />
»alt«- und »title«-Tags sowie Optimierungsmöglichkeiten<br />
des Quelltextes zum<br />
Standardumfang. Stimmt die Qualität der<br />
Texte, bereiten Nutzer Redaxo-Sites optimal<br />
für Suchmaschinen auf und erstellen<br />
mehrsprachige Webseiten.<br />
Informationen zu Kategorien und Artikeln<br />
ermittelt Redaxo nicht über SQL-<br />
Anfragen, sondern liest sie aus Dateien.<br />
Diese legt das CMS automatisch an und<br />
stellt sie in den Ordnern »articles«, »files«<br />
und »templates« im Verzeichnis »redaxo/<br />
include/generated« für eine schnelle Ausgabe<br />
bereit. Im Admin-Interface erreichen<br />
Nutzer über »System« eine Funktion, um<br />
den Cache zu löschen. Redaxo erstellt<br />
daraufhin die Informationen zu Artikeln,<br />
Dateien und Templates neu. Bei den Social-Media-Diensten<br />
sieht es eher mau<br />
aus, auch die Suchfunktion der Addon-<br />
Seite schweigt sich dazu aus.<br />
Abbildung 9: Ins Wordpress-Dashboard integriert ist eine praktische Suchfunktion für neue Themes. Mit nur<br />
wenigen Mausklicks bestimmen Anwender ihre Vorlieben und filtern das Angebot.<br />
Wer hingegen sein Redaxo-System gegen<br />
Spam und Bots absichern möchte,<br />
der wird im Downloadbereich fündig.<br />
Von dort laden Nutzer barrierefreie<br />
Captcha-Alternativen, E-Mail-Scrambler<br />
und Spamfilter herunter. Ein Update ist<br />
derzeit nicht aus dem Admin-Interface<br />
heraus möglich; das Feature soll aber mit<br />
Version 5 Einzug halten.<br />
Wer ein Redaxo-System aktualisieren<br />
möchte, der sollte die alte Seite exportieren<br />
(zum Beispiel mit Hilfe der Erweiterung<br />
»Im-/Export«), die neue CMS-<br />
Version in einen leeren Ordner auf dem<br />
Webserver installieren und die Daten der<br />
Vorgängerversion importieren. Die Entwickler<br />
raten davon ab, eine alte Version<br />
einfach zu überspielen.<br />
E Wordpress<br />
Das 2004 veröffentlichte CMS startete<br />
bereits 2001 als reine Blogsoftware unter<br />
dem Namen B2/Cafelog. Im Laufe der<br />
Jahre bauten die Entwickler Wordpress<br />
[21] immer weiter aus. Inzwischen verwaltet<br />
es auch statische Seiten außerhalb<br />
des Weblogs und hat sich damit zum vollwertigen<br />
Contentmanagement-System<br />
gemausert. Das unter der GPL veröffentlichte<br />
System gehört zu jenen Vertretern,<br />
mit denen Anwender auch ohne tiefere<br />
Kenntnisse der Materie innerhalb weniger<br />
Stunden eine schöne Website mit allen<br />
wesentlichen Features aufsetzen. Soll<br />
sie fortgeschrittene Funktionen aufweisen,<br />
besteht die Hauptarbeit in der Suche<br />
und Integration der passenden Plug ins<br />
und Widgets.<br />
Wordpress erstellt schlichte einspaltige<br />
Blogs und Portale mit dem <strong>Magazin</strong>style-<br />
Template. Mittelgroße Sites verwaltet es<br />
ebenso wie Blogs mit hohen Besucherzahlen.<br />
Auch multiple Weblogs verwalten<br />
Anwender mit dem entsprechenden<br />
Modul in einer Installation. Für Wordpress<br />
als CMS spricht vor allem seine<br />
große Popularität. Das System ist so weit<br />
verbreitet, dass die Weiterentwicklung<br />
und nützliche Erweiterungen garantiert<br />
sind; ein wachsender Markt für Templates<br />
und Themes zeugt davon.<br />
Gegen Wordpress spricht seine Popularität<br />
allerdings auch, denn von Sicherheitslöchern<br />
sind immer gleich Millionen<br />
von Sites betroffen. Ein mit Wordpress<br />
verwaltetes Blog sollten Admins lieber<br />
nicht unbeaufsichtigt lassen. Denn vergessen<br />
sie ein Update, riskieren sie eine<br />
Invasion von Spammern und Phishern.<br />
Zudem müssen sie bei jeder neuen Version<br />
darauf hoffen, dass die vielen Plugins<br />
und Widgets noch funktionieren oder<br />
ebenfalls nachgezogen sind. Je komplexer<br />
und besser eine Wordpress-Site ausgestattet<br />
ist, desto größer ist meist das
Heulen und Zähneklappern bei großen<br />
Versionssprüngen. Im Test trat die Version<br />
3.4.1 an.<br />
Die Vorteile überwiegen jedoch bei Weitem.<br />
Wer sich nicht mit der Installation<br />
aufhalten möchte, der findet bei den<br />
meisten Webhosting-Anbietern ein vorinstalliertes<br />
Wordpress im Angebot. Im<br />
Dashboard orientieren sich auch Neulinge<br />
schnell. Übersichtlich angeordnet<br />
sehen sie zunächst Inhaltliches, etwa<br />
Artikel, Mediathek, Links (Blogroll), Seiten,<br />
und Kommentare. Darunter sind die<br />
Konfigurationsmöglichkeiten zu finden.<br />
Wordpress unterteilt zwischen Design,<br />
Plugins, Benutzerverwaltung, Werkzeugen<br />
und allgemeinen Einstellungen.<br />
Hilfsbereit<br />
Der fünfte Kandidat punktet mit einer<br />
wirklich guten Theme-Verwaltung. Mit<br />
nur drei Klicks ändern Nutzer das Screendesign<br />
ihrer Seite und im Dashboard suchen<br />
sie komfortabel nach alternativen<br />
Looks – entweder per Schlüsselwort oder<br />
nach Farben, Spaltenanzahl und anderen<br />
Merkmalen sortiert (Abbildung 9).<br />
Im Netz warten zudem Tausende von<br />
kostenlosen oder preiswerten Wordpress-<br />
Templates für jeden denkbaren Zweck,<br />
für jede Branche und Stilrichtung.<br />
Wordpress-Installationen beziehungsweise<br />
deren Inhalte harmonieren ohne<br />
viel Zusatzaufwand herausragend mit<br />
Suchmaschinen. Anwender können außerdem<br />
ausgetüftelte SEO-Plugins ergänzen,<br />
mit denen sie jedes noch so kleine<br />
Detail optimieren. Das Netz wimmelt nur<br />
so von Tutorials und hilfsbereiten Wordpress-Fans,<br />
die bereitwillig Auskunft und<br />
Tipps geben.<br />
Wer neue Plugins sucht, geht ins gleichnamige<br />
Menü im Dashboard und nimmt<br />
die dort integrierte Suchmaske oder die<br />
Schlagwort-Wolke zu Hilfe. Eine Bewertungsfunktion<br />
hilft darüber hinaus bei<br />
der Entscheidung. Auf diese Weise ergänzen<br />
Benutzer in Windeseile Social-Media-<br />
Funktionen, Statistiken, Wetterberichte<br />
und vieles mehr.<br />
Der Testkandidat liefert eine eigene<br />
Caching-Funktion mit; zusätzlich steht<br />
jede Menge Plugins zur Optimierung bereit.<br />
Von Haus aus bringt das CMS das<br />
ausgeklügelte Akismet [8] zur Spamabwehr<br />
mit. Anwender finden es im Bereich<br />
»Installierte Plugins« und aktivieren es<br />
dort auch. Auch bei der Konfiguration<br />
hilft das Dashboard und erlaubt es, direkt<br />
den API-Schlüssel einzugeben.<br />
Wie erwähnt stehen für Wordpress recht<br />
häufig Aktualisierungen an, und zwar<br />
nicht nur für das CMS selbst, sondern<br />
auch für Plugins, Widgets und Themes.<br />
Die Software macht im Dashboard darauf<br />
aufmerksam, hebt den Versionshinweis<br />
farblich abgesetzt hervor und zeigt die<br />
Anzahl der wartenden Updates als Ziffern<br />
an. Die meisten Updates laufen problemlos<br />
aus dem Interface heraus, benötigen<br />
im Hintergrund aber einen FTP-Server<br />
Bitparade 09/2012<br />
Software<br />
www.linux-magazin.de<br />
53
Software<br />
www.linux-magazin.de Bitparade 09/2012<br />
54<br />
Abbildung 10: Auf Aktualisierungen des CMS selbst, seiner Plugins, Widgets und Themes macht Wordpress<br />
deutlich aufmerksam. Damit das automatische Update aus dem Dashboard heraus klappt, braucht das System<br />
einen FTP-Server.<br />
auf dem Webserver. Alternativ bietet das<br />
System auch immer die neueste Version<br />
zur manuellen Installation an (siehe Abbildung<br />
10).<br />
Eile mit Weile<br />
Popularität und weite Verbreitung können<br />
durchaus ein Argument gegen ein<br />
Contentmanagement-System sein. So ist<br />
Wordpress aufgrund der großen Beliebtheit<br />
immer dann ein Sicherheitsrisiko,<br />
wenn ein Admin die häufig erscheinenden<br />
Updates nicht regelmäßig durchführt.<br />
Wer also im Wesentlichen statische Seiten<br />
im WWW anbieten möchte und seine<br />
Inhalte vielleicht nur alle paar Monate<br />
aktualisiert, der ist mit CMS made simple,<br />
Concrete 5 oder Redaxo besser beraten.<br />
Um deren technische Basis muss er sich<br />
nicht ganz so häufig sorgen.<br />
Alle Systeme erlauben die Integration<br />
eigener Designs und eine individuelle<br />
Gestaltung der Websites. Beim Anpassen<br />
von (X)HTML- und CSS-Dateien unterscheiden<br />
sich die Kandidaten allerdings<br />
in puncto Einarbeitungszeit.<br />
CMS made simple und Concrete 5 sind<br />
klein, fein und in sich stimmig. Auch<br />
Einsteiger kommen mit diesen Systemen<br />
schnell ans Ziel und klicken eine ansehnliche<br />
Internetpräsenz zusammen.<br />
CMS made simple bringt zusätzlich zur<br />
Blog-ähnlichen Default-Installation ein<br />
Design mit mehrstufiger Navigation mit,<br />
das auch gleich das Handbuch enthält.<br />
Concrete 5 wiederum ist unschlagbar,<br />
wenn es um die Einrichtung geht, bietet<br />
schnelle Erfolgserlebnisse, ohne dass Anwender<br />
Plugins für Sitemap, Gästebuch<br />
und Blog nachrüsten müssen – und ist<br />
daher der Testsieger.<br />
Pivot X ist der Exot unter den Testkandidaten<br />
und sehr interessant für alle, die<br />
ohne Datenbank auskommen müssen<br />
oder wollen. Allerdings gibt es nur drei<br />
Dutzend fertige Templates und auch die<br />
Erweiterungen können mit Systemen wie<br />
Wordpress nicht mithalten.<br />
Redaxo steht vor einem Entwicklungssprung<br />
zur völlig überarbeiteten Version<br />
5 und erfordert dann vermutlich eine erneute<br />
Einarbeitung. Für Wordpress gibt<br />
es unzählige fertige Templates und Erweiterungen,<br />
was einerseits eine ganz<br />
individuelle Gestaltung ermöglicht, andererseits<br />
aber auch ein echter Zeitfresser<br />
ist – zu schnell verirren sich Neulinge im<br />
Themes- und Plugin-Dschungel.<br />
Alle Kandidaten bringen Anwender in<br />
kurzer Zeit mit ihrem Standard-Template<br />
zu einem zufriedenstellenden Ergebnis.<br />
Für welches System sich ein Nutzer entscheiden<br />
sollte, hängt daher vor allem<br />
von den persönlichen Vorlieben in Bezug<br />
auf das Backend ab: Wirklich erfolgreich<br />
arbeitet man langfristig nur mit einem Interface,<br />
das sich intuitiv erschließt. Zum<br />
unverbindlichen Testen lädt die Webseite<br />
unter [22] ein. Hier stehen Online demos<br />
von rund 280 freien Contentmanagement-<br />
Systemen bereit – mit dabei die fünf Testkandidaten.<br />
(hej) <br />
n<br />
Infos<br />
[1] CMS made simple:<br />
[http:// www. cmsmadesimple. org]<br />
[2] Erweiterungen und Skripte für CMS made<br />
simple: [http:// dev. cmsmadesimple. org/<br />
project/ list]<br />
[3] Template-Engine Smarty:<br />
[http:// www. smarty. net]<br />
[4] Themes für CMS made simple:<br />
[http:// themes. cmsmadesimple. org]<br />
[5] Tiny MCE: [http:// www. tinymce. com]<br />
[6] SEO-Gruppe im CMS-made-simple-Forum:<br />
[http:// forum. cmsmadesimple. org/<br />
viewtopic. php? f=61& t=38771]<br />
[7] »Gefällt mir« für CMS made simple:<br />
[http:// forum. cmsmadesimple. de/<br />
viewtopic. php? id=849]<br />
[8] Akismet: [http:// akismet. com]<br />
[9] Concrete 5: [http:// www. concrete5. org]<br />
[10] ADODB Database Framework:<br />
[http:// adodb. sourceforge. net]<br />
[11] Marketplace für Concrete 5:<br />
[http:// www. concrete5. org/ marketplace]<br />
[12] Concrete-5-Templates anpassen:<br />
[http:// www. codeblog. ch/ 2009/ 03/<br />
concrete5‐templates]<br />
[13] Cachemanager des Zend-Framework:<br />
[http:// framework. zend. com/ manual/ en/<br />
zend. cache. cache. manager. html]<br />
[14] Pivot X: [http:// pivotx. net]<br />
[15] Importskript für Pivot X: [http:// pivotx.<br />
net/ files/ misc/ import_pivot. php. zip]<br />
[16] Sprachdateien für Pivot X:<br />
[http:// pivotx. net/ files/ translations]<br />
[17] Pivot-X-Handbuch:<br />
[http:// book. pivotx. net]<br />
[18] Redaxo: [http:// www. redaxo. org]<br />
[19] Textile:<br />
[http:// textile. thresholdstate. com]<br />
[20] »AddonDeveloper2« für Redaxo:<br />
[http:// www. redaxo. org/ de/ wiki/ index.<br />
php? n=R4. AddonDeveloper2]<br />
[21] Wordpress: [http:// de. wordpress. com]<br />
[22] Open-Source-CMS online testen:<br />
[http:// www. opensourcecms. com]<br />
Die Autorin<br />
Carola Heine ist IT-Journalistin und Webentwicklerin.<br />
Sie bloggt seit 1996 über alles, was das Web<br />
bewegt: [http://www.blogwork.de]
Aus dem Alltag eines Sysadmin: Geo-IP-Lookup<br />
Land in Sicht<br />
Einführung 09/2012<br />
Sysadmin<br />
Das globale Dorf ist groß genug, um herausfinden zu wollen, wo Freund und Feind ihre Bauernhäuser stehen<br />
haben. Eine kleine IP-basierte Länderkunde. Charly Kühnast<br />
Inhalt<br />
56 Zentyal<br />
Das fehlte bislang: Ein alles umfassendes<br />
grafisches Systemmanagement für<br />
Ubuntu Server.<br />
64 I-doit<br />
IT-Inventarisierung mit Stärken bei Objekt-Verbindungen<br />
und kaufmännischen<br />
Funktionen.<br />
Alle populären Distributionen haben ein<br />
oder mehrere Paket(e) an Bord, die das<br />
Heimatland einer IP-Adresse ermitteln.<br />
Auf meinem Test-Ubuntu nehme ich dafür<br />
die Pakete »geoip‐bin« und »geoip‐database«.<br />
Ab sofort gibt es auf der Kommandozeile<br />
die Befehle »geoiplookup«<br />
und für IPv6-Adressen »geoiplookup6«.<br />
Als Parameter erwartet der Befehl natürlich<br />
die IP-Adresse oder einen Namen:<br />
$ geoiplookup linuxfoundation.org<br />
GeoIP Country Edition: US, United States<br />
Für die meisten Zwecke reicht mir die Zuordnung<br />
der IP-Adresse zu einem Land:<br />
Meine Spamfilter ermitteln auf diese<br />
Weise täglich die Top 5 der Länder, aus<br />
denen am meisten Müllmail kommt. In<br />
Abbildung 1 ist es Deutschland, aber das<br />
dürfte daran liegen, dass ich den Screenshot<br />
an einem Sonntag gemacht habe.<br />
Unter der Woche ist Deutschland nur extrem<br />
selten in den Top 5 zu finden.<br />
Wer eine höhere Auflösung<br />
braucht, also<br />
die IP-Adresse nicht<br />
nur einem Land, sondern<br />
einer Stadt, Region<br />
oder Organisation<br />
zuordnen möchte,<br />
greift auf Geo-IP-Daten<br />
kommerzieller<br />
Anbieter zurück. Das<br />
äußert sich auf ein<br />
abermaliges »geoiplookup<br />
linuxfoundation.org<br />
« etwa so:<br />
GeoIP Country Edition:U<br />
US, United States<br />
GeoIP City Edition, Rev 1: US, OR, Medford,U<br />
N/A, 42.326500, ‐122.875603, 813, 541<br />
GeoIP ASNum Edition: AS3701 Oregon JointU<br />
Graduate Schools of Engineering<br />
Für Webserver gibt es das Modul »libapache2_mod_geoip«.<br />
Damit schicke ich<br />
Benutzer anhand ihrer Herkunft zum<br />
passend lokalisierten Bereich der Site.<br />
Länder-Weiche<br />
Dazu füge ich in der »httpd.conf« die<br />
folgenden Zeilen ein:<br />
GeoIPEnable On<br />
GeoIPDBFile /usr/share/geoip/geoip.dat<br />
Den Pfad muss der Webserver-Admin<br />
gegebenenfalls noch anpassen. In meine<br />
».htaccess«-Datei hinein schreibe ich<br />
noch die Zeilen aus Listing 1.<br />
Die Genauigkeit der Geodaten reicht fast<br />
immer aus, zumindest auf Länderebene.<br />
Ausnahmen bestätigen die Regel. Mobilfunkprovider<br />
routen den HTTP-Verkehr<br />
ihrer Kunden gerne durch Zwangsproxys.<br />
Je nach Netzauslastung steht ein solcher<br />
auch schon mal im benachbarten Ausland,<br />
was zu vermeintlichen Flüchtlingsströmen<br />
führt. (jk) <br />
n<br />
Der Autor<br />
Charly Kühnast administriert<br />
Unix-Syste me im Rechenzentrum<br />
Niederrhein. Zu seinen<br />
Aufgaben gehören Sicherheit<br />
und Verfügbarkeit der<br />
Firewalls und der DMZ.<br />
© Alexander Makarov, 123RF.com<br />
www.linux-magazin.de<br />
55<br />
Listing 1: ».htaccess«<br />
01 #IP‐Adresse aus .de<br />
02 RewriteEngine on<br />
03 RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^DE$<br />
04 RewriteRule ^(.*)$ http://www.example.com/de<br />
05 <br />
06 #alle anderen auf die englische Seite:<br />
Abbildung 1: Deutschland ist Weltmeister! Zumindest an diesem denkwürdigen Sonntag und für Charlys<br />
Antispam-System mit eingebautem Geo-IP-Lookup.<br />
07 RewriteEngine on<br />
08 RewriteRule ^(.*)$ http://www.example.com/en/
Sysadmin<br />
www.linux-magazin.de Zentyal 09/2012<br />
56<br />
Zentyal macht Ubuntu zum Small Business Server<br />
Ubuntu bedienbar<br />
Ein vorkonfektioniertes Rundum-sorglos-Paket für Admins kleiner Unternehmen: Wem ein Server reicht, der<br />
erhält praktisch alles, was <strong>Linux</strong> an Diensten bietet, inklusive eines handlichen und umfassenden Web-GUI. Das<br />
<strong>Linux</strong>-<strong>Magazin</strong> hat die Software, die mit Unterstützung von Canonical antritt, getestet. Martin Loschwitz, Markus Feilner<br />
© Vitaliy Shabalin, 123RF.com<br />
Admins in großen IT-Unternehmen sind<br />
es gewohnt, für alltägliche Aufgaben<br />
ein ganzes Arsenal an Hilfswerkzeugen<br />
vorzuhalten. FAI [1], Kickstart [2] oder<br />
Autoyast [3] statten neue Hosts automatisch<br />
mit einem Betriebssystem aus,<br />
Puppet [4], Chef [5] oder ein anderes<br />
Orchestrierungswerkzeug weist ihnen<br />
ihre Rolle im Netz zu.<br />
Die Integration ins firmenweite Monitoring<br />
passiert entweder automatisch oder<br />
der Admin erledigt es mit ein paar Mausklicks<br />
im Webinterface, weil er vorher<br />
entsprechende Templates definiert hat.<br />
Viele Server und Clients laufen in der<br />
Cloud, ums eigentliche Netzwerk kümmert<br />
sich ein eigenes Team, das auf Bitte<br />
die entsprechenden Daten wie IP-Adresse<br />
und Gateway übermittelt.<br />
Deutlich weniger rosig gestaltet sich der<br />
Alltag für Admins in kleinen Firmen und<br />
im unteren Mittelstand. Ist die IT nur<br />
ein Mittel zum Zweck, sozusagen ein<br />
Werkzeug unter vielen, dann leistet sich<br />
die Firma in aller Regel weder eine Sysop-<br />
Armada noch ein umfangreiches Konfigurationsframework.<br />
Meist kümmert sich ein Angestellter eher<br />
nebenbei um die IT, in seltenen Fällen<br />
steht ein einzelner Mitarbeiter mit Poweruser-Fähigkeiten<br />
für die Unternehmens-<br />
IT bereit und betreut den einzigen Server,<br />
den das Unternehmen betreibt. Oft ist<br />
dann Ubuntu Server das <strong>Linux</strong> der Wahl,<br />
weil es fünf Jahre Support genießt und<br />
nichts kostet.<br />
Der Poweruser-Admin<br />
Doch im Ernstfall muss sich der Mitarbeiter<br />
meist in die Untiefen der Systemintegration<br />
stürzen, schlimmstenfalls erst<br />
in die Syntax der Konfigurationsdateien<br />
einarbeiten und Dienste wie Firewall,<br />
Mailserver, Webserver oder Groupware-<br />
Lösungen aufsetzen. Ubuntu bietet zwar<br />
fertige Pakete an, aber allein schon die<br />
Konfigurationsarbeit, die beispielsweise<br />
ein gut funktionierender Mailserver hervorruft,<br />
ist beachtlich, vor allem wenn<br />
er auch angenehme Features wie Antispam-Mechanismen<br />
oder Virenscanner<br />
mitbringen soll.<br />
Mit seinem Produkt Small Business Server<br />
(SBS, [6]) hat Microsoft unter Beweis<br />
gestellt, wie man sich als Softwarelieferant<br />
für solche Unternehmen interessant<br />
macht: Der SBS bietet die wichtigsten<br />
Dienste für kleine und mittelständische<br />
Unternehmen, lässt sich verhältnismäßig<br />
leicht installieren und konfigurieren und<br />
ruft danach meist nur wenig Wartungsaufwand<br />
hervor.<br />
Genau diese Zielgruppe bedient seit einigen<br />
Jahren die spanische Firma E-Box<br />
Solutions. Ihr Ziel ist, kleinen und mittelgroßen<br />
Firmen eine echte Alternative<br />
zum SBS auf der Grundlage von freier<br />
Software und Ubuntu Server anzubieten.<br />
Seit 2011 firmiert das Produkt unter dem<br />
Namen Zentyal [7].<br />
E-Box zu Zentyal<br />
Ganz neu ist das Konzept von Zentyal<br />
nicht: Vor Jahren schon gab es E-Box-<br />
Pakete als Download für Ubuntu [8]. Sie<br />
integrierten sich in eine Basisinstallation<br />
des Canonical-<strong>Linux</strong> und erweiterten das<br />
System insbesondere um ein umfassendes<br />
GUI und diverse Skripte, die dem<br />
Admin im Hintergrund die Arbeit abnehmen.<br />
Seit damals hat sich allerdings<br />
DELUG-DVD<br />
DELUG-DVD<br />
Auf der DVD dieses <strong>Magazin</strong>s<br />
finden Sie Zentyal als ISO-Image und als von<br />
der DVD startbare virtuelle Maschine.
Abbildung 1: Wer die Festplatte nicht selbst partitionieren möchte, greift<br />
zur Option »delete all disk« und muss sich um fast nichts mehr kümmern.<br />
einiges an der Lösung geändert, denn<br />
jetzt stellt der Hersteller nicht nur Pakete<br />
für Ubuntu zur Verfügung, sondern ein<br />
fertiges Installations-Image, das sich auf<br />
x86- oder AMD64-Rechnern installieren<br />
lässt (als ISO- und VMware-Image auf<br />
der DELUG-DVD dieses <strong>Magazin</strong>s). Ein<br />
E-Box 2.0 gab es nie, dafür startete Zentyal<br />
letzten November gleich als Version<br />
2, die dritte Ausgabe ist für kommenden<br />
Herbst geplant.<br />
Ganz frisch ist das System insofern nicht<br />
mehr: Als Grundlage dient der aktuellen<br />
Zentyal-Version 2.2.2 ein Ubuntu in<br />
Version 10.04 LTS. Leider hat sich der<br />
Hersteller obendrein dazu entschieden,<br />
keinen Backport-Kernel in das System<br />
zu integrieren, obwohl der durchaus zur<br />
Verfügung stünde.<br />
So ergeben sich auf neuerer Hardware<br />
möglicherweise Schwierigkeiten, weil die<br />
alten Treiber des genutzten 2.6.32-Kernels<br />
mit allzu frischen Gerätschaften eventuell<br />
nicht zurechtkommen. Vor allem<br />
SAS-Controller sind beliebte Fallstricke in<br />
solchen Szenarien, dann ist nicht selten<br />
bereits vor der Installation Schluss.<br />
Neue Version im Herbst<br />
dass einige der Komponenten<br />
von Zentyal<br />
2.2 etwas angestaubt<br />
sind, wird ab September<br />
kein Problem<br />
mehr sein: Für dann<br />
hat E-Box Solutions<br />
die Veröffentlichung<br />
von Zentyal 3.0 angekündigt<br />
[8], das auf<br />
Ubuntu 12.04 basieren<br />
und aktuellere Software<br />
an Bord haben<br />
wird.<br />
Wenn mit der Hardware<br />
alles glatt läuft,<br />
dürfen sich Admins<br />
auf ein hochgradig integriertes und ausgezeichnet<br />
vorkonfiguriertes System<br />
freuen. Der Anspruch, den Zentyal an<br />
sich selbst richtet, ist eindeutig: Dieses<br />
System sollen auch jene Admins bedienen<br />
können, die nicht von Perl träumen<br />
oder nicht nur auf der Kommandozeile<br />
unterwegs sind. Die werden im Zweifelsfalle<br />
aber ohnehin kein System wollen,<br />
an dem sie nicht jede Schraube selbst<br />
anziehen können.<br />
Einfache Installation,<br />
einfaches Setup<br />
Das Zentyal-System richtet sich an<br />
Admins mit soliden IT-Grundkenntnissen,<br />
die im Alltag wollen, dass die Dienste des<br />
Servers – Mail- und Webserver, eventuell<br />
Samba oder LDAP und viele mehr – einfach<br />
funktionieren.<br />
Schon die Installationsroutine von Zentyal<br />
macht sehr deutlich, dass sich das<br />
System nicht an eingefleischte Profi-<br />
Admins richtet. Wer Zentyal auf einem<br />
neuen Server mit leerer Platte nutzt,<br />
muss sich also im Idealfall nicht einmal<br />
um deren Partitionierung kümmern: Im<br />
Bootmenü hat der Mensch vor dem Bildschirm<br />
die Möglichkeit, sich zwischen<br />
der automatischen Installation und der<br />
Variante mit einer manuellen Partitionierung<br />
zu entscheiden (Abbildung 1).<br />
Zentyal setzt auf den Standard-Installer<br />
von Ubuntu 10.04, der allerdings so vorkonfiguriert<br />
ist, dass er nicht viele Fragen<br />
stellt (Abbildung 2).<br />
Quick, aber nicht dirty?<br />
E-Box macht sich in dieser Hinsicht die<br />
im Debian-Installer vorhandene Preseed-<br />
Funktion zunutze und übergibt dem System<br />
auf diesem Wege die meisten Konfigurationswerte<br />
bereits ab Werk. Nur<br />
ein Account für einen Systembenutzer,<br />
der Hostname, das Tastaturlayout, der<br />
Standort des Servers sowie die zu nutzende<br />
Sprache ist vom Admin händisch<br />
festzulegen.<br />
Da stört es nicht, dass E-Box während<br />
der Installation auf eine grafische Oberfläche<br />
gänzlich verzichtet. Ist die Routine<br />
fertig, dann landet der Admin vor dem<br />
Bildschirm in einem LXDE-Desktop, in<br />
dem sofort ein Browserfenster (Firefox)<br />
aufpoppt. Der Name und das Passwort<br />
des während der Installation angelegten<br />
Systembenutzers öffnen die Türen zum<br />
Herzstück von Zentyal: dem zentralen<br />
Konfigurationsinterface.<br />
Das Programm, das auf den Namen<br />
»Zentyal Administration« hört, ist das<br />
Zentyal 09/2012<br />
Sysadmin<br />
www.linux-magazin.de<br />
57<br />
Nahezu vorbildlich ist das mitgelieferte<br />
Web-GUI, das viele klassische Konfigurationswerkzeuge<br />
in Sachen Funktionalität<br />
glatt in den Schatten stellt. Wer über ein<br />
solides Grundwissen im IT-Bereich verfügt<br />
und der englischen Sprache einigermaßen<br />
mächtig ist, wird keine größeren<br />
Schwierigkeiten haben, Zentyal für die<br />
eine oder andere Funktion hinreichend<br />
zu konfigurieren. Auch die Tatsache,<br />
Abbildung 2: Zentyal nutzt die Preseeding-Funktion des Debian-Installers, um zusätzliche Pakete zu installieren<br />
und viel Konfigurationsarbeit zu umgehen.
Sysadmin<br />
www.linux-magazin.de Zentyal 09/2012<br />
58<br />
Abbildung 3: Nach der Installation fragt das Zentyal-GUI, welche Funktionen der frisch installierte Server<br />
bieten soll. Die Module schließen sich dabei nicht gegenseitig aus.<br />
Kleinod des gesamten Systems. Es hilft<br />
dabei, Web-basiert praktisch alle Dienste<br />
zu konfigurieren, die Zentyal steuern<br />
kann – und das sind wirklich sehr viele.<br />
Keine Sorge, weder handelt es sich hier<br />
um einen Webmin-Klon, noch hat die<br />
Software Fehler von ihren Vorfahren aus<br />
früheren Tagen geerbt: Das Zentyal-GUI<br />
in der getesteten Version funktionierte<br />
überraschend gut.<br />
Uferlos: Das Web-GUI<br />
Nach dem ersten Login präsentiert sich<br />
dem Admin eine Übersicht über die verschiedenen<br />
Paketsammlungen, die sich<br />
aus dem GUI heraus installieren lassen<br />
(Abbildung 3). Beispiele sind »Webserver«,<br />
»Mail Service« oder auch »VoIP Server«,<br />
»Groupware (Zarafa)«, Single-Signon<br />
für Windows-Clients über LDAP oder<br />
Virtualisierung mit KVM (inklusive einer<br />
Web-VNC-Konsole für den komfortablen<br />
Remote-Zugriff).<br />
Die Module lassen sich beliebig kombinieren,<br />
auf Wunsch auch gleichzeitig<br />
installieren. Das nimmt dann zwar ein<br />
wenig Zeit in Anspruch, doch kann das<br />
System im Anschluss tatsächlich jede<br />
Rolle spielen, die in Zentyal vorgesehen<br />
ist. Das Konfigurationsinterface ist denkbar<br />
einfach gestaltet: Links befindet sich<br />
ein Menü mit Links zu jeder verfügbaren<br />
Funktion eines Zentyal-Setups, im rech-<br />
ten Teil des Fensters sind die zugehörigen<br />
Konfigurationsoptionen angeordnet.<br />
Dashboard mit Rollen<br />
Das Dashboard gibt Systembetreuern einen<br />
schnellen und umfassenden Überblick<br />
über den aktuellen Systemstatus.<br />
Hier finden sich Infos über die Auslastung<br />
der Netzwerkschnittstellen und über die<br />
gerade vom Zentyal-Server angebotenen<br />
Dienste. Diese lassen sich direkt aus dem<br />
Dashboard heraus stoppen und bei Bedarf<br />
wieder starten. Im Test hinterließ das<br />
Zentyal-GUI tatsächlich einen sehr guten<br />
Eindruck mit leichten Abzügen in der<br />
B-Note: Die Benennung der Menüpunkte<br />
links ist durch die hohe Anzahl an Einträgen<br />
noch unübersichtlich, bisweilen<br />
sogar irreführend.<br />
Small-Business-Server-Anbieter treten in<br />
der Regel mit dem Versprechen an, eine<br />
eierlegende Wollmilchsau zu bauen. Im<br />
Falle von Zentyal heißt das: Die Entwickler<br />
zielen darauf ab, dass Unternehmen<br />
sich einen Zentyal-Server in ihr Büro<br />
stellen und diesen alle Aufgaben der<br />
täglichen Arbeit erledigen lassen. Dabei<br />
darf die Maschine verschiedene Rollen<br />
annehmen.<br />
Zunächst ist das freilich der einfache<br />
Einsatz als Webserver, wobei der Dienst<br />
schon im eigenen Interesse von Zentyal<br />
liegt, schließlich läuft das Konfigurationsinterface<br />
ebenfalls über Apache.<br />
Im Test war die Überraschung nicht zu<br />
verheimlichen, als die Versionsnummer<br />
des genutzten Apache ins Auge fiel: Die<br />
Version1.3.9 war selbst im April 2010 –<br />
zum Release-Termin von Ubuntu 10.04<br />
– schon flächendeckend dem Nachfolger<br />
Apache 2 gewichen.<br />
Es hilft auch nicht, dass der Admin per<br />
Webinterface virtuelle Hosts hinzufügen<br />
kann, um neue Sites auf dem Server online<br />
zu bringen. Viele Funktionen aktueller<br />
Webanwendungen sind so nur unzureichend<br />
oder gar nicht nutzbar.<br />
Wer seinen Mailverkehr aus grundsätzlichen<br />
Überlegungen nicht einem externen<br />
Dienst wie Google Mail anvertrauen<br />
möchte, setzt in Zentyal per Klick im<br />
Web interface sowohl einen IMAP-<br />
Daemon (Dovecot) als auch einen SMTP-<br />
Server (Postfix) oder gleich einen ganzen<br />
Groupwareserver (Zarafa) auf.<br />
Die Konfigurationsmöglichkeiten des<br />
Web interface sind auch hier sehr umfangreich,<br />
wer eine Small Business<br />
Subscription erwirbt (dazu später mehr),<br />
bekommt sogar Antivirus- und Antimalware-Tools<br />
oder Contentfilter mitgeliefert.<br />
Im einfachsten Szenario beschränkt sich<br />
die Konfiguration auf das Festlegen des<br />
Hostnamens des Mailservers, den Rest<br />
erledigt Zentyal wie vieles andere ganz<br />
automatisch.<br />
Web, Mail, Firewall, DHCP<br />
Auch wer eine flexible <strong>Linux</strong>-Firewall<br />
mit Routingfunktionen einsetzen will,<br />
kommt mit Zentyal zum Ziel. Die Distribution<br />
kombiniert die Flexibilität der<br />
klassischen Firewall- und Forwarding-<br />
Werkzeuge auf <strong>Linux</strong> mit den Vorteilen,<br />
die ein GUI ähnlich dem klassischer<br />
Homerouter anbietet. Per Mausklick legen<br />
Admins fest, welche Netzwerke innerhalb<br />
der vorhandenen Schnittstellen<br />
geforwardet oder per NAT maskiert sein<br />
sollen oder wie die DMZ auszusehen hat.<br />
Auch die Firewall-Konfiguration wird so<br />
zum Kinderspiel für den etwas talentierten<br />
Poweruser.<br />
Wer im Firmennetzwerk einen DHCP-<br />
Server braucht, richtet sich auch diesen<br />
per Mausklick schnell ein. Und falls die<br />
Internetanbindung im Büro nicht gar<br />
so berauschend ist, freuen sich Admins<br />
ebenfalls über Squid, der als transparen-
Abbildung 4: Per GUI ist ein Server mit einer Zentyal-Subscription direkt zu verbinden – erst dann stehen die<br />
zusätzlichen Dienstleistungen zur Verfügung.<br />
und die nicht über das GUI von Zentyal<br />
zu konfigurieren wäre. Die E-Box-Entwickler<br />
leisten gute Arbeit im Bestreben,<br />
einerseits ein möglichst vollständiges<br />
Paket zu schnüren und auf der anderen<br />
Seite alle Funktionen dieses Pakets auch<br />
für Nicht-Geeks optisch aufzubereiten.<br />
Das ganze Image von Zentyal besteht aus<br />
freier Software, die gänzlich kostenlos<br />
ihre Benutzer erreicht.<br />
Misstrauischen Menschen stellt sich an<br />
dieser Stelle die Frage nach dem Geschäftsmodell<br />
des Anbieters, das in der<br />
Tat durch ein paar Eigenheiten gekennzeichnet<br />
ist. Freilich entwickelt Zentyal<br />
das System nicht aus purer Nächstenliebe,<br />
sondern will Geld mit der Lösung<br />
verdienen. Eine verbreitete Variante, mit<br />
freier Software an Geld zu kommen, sind<br />
Supportverträge. Und genau das bietet<br />
Zentyal unter dem Namen Subscriptions<br />
an [10]. Dafür registriert sich der Benutzer<br />
in der Zentyal Cloud (Abbildung 4).<br />
Zentyal 09/2012<br />
Sysadmin<br />
www.linux-magazin.de<br />
59<br />
ter Proxy zum Einsatz kommt. In diesem<br />
Modus gleicht Zentyal klassischen Routerdistributionen<br />
wie FLI4L [9].<br />
LDAP, Jabber, VoIP, PKI,<br />
VPN, Groupware<br />
Jede Funktion von Zentyal einzeln aufzulisten,<br />
erscheint unmöglich. Denn die<br />
Optionen, die das System bietet, wirken<br />
fast unendlich: Ein eigener Jabber-Server<br />
für Büro-internes Instant Messaging<br />
oder ein NTP-Server als Zeitquelle für<br />
alle Windows-Desktops sind ebenfalls<br />
kein Problem. Ein eigener BIND-Server,<br />
der bei Bedarf die Domain eines Unternehmens<br />
verwaltet und für den sich die<br />
gesamte Konfiguration inklusive Domain-<br />
Zonen per GUI steuern lässt. Bei Bedarf<br />
dient Zentyal überdies als kleine PKI, als<br />
Verwaltungsstelle für eine lokale Certificate<br />
Authority.<br />
Auch als billiger Active-Directory-Ersatz<br />
will Zentyal dienen: Zumindest für Windows-Clients<br />
verwaltet der Server die<br />
zentrale Authenti fizierung mit Single-<br />
Sign-on, auch <strong>Linux</strong>-Maschinen lassen<br />
sich ins LDAP-Directory oder die Samba-<br />
Domäne integrieren.<br />
Sollen Kollegen im Außendienst Zugriff<br />
auf Dokumente innerhalb des Firmennetzwerks<br />
erhalten, bietet sich das integrierte<br />
Open-VPN-Modul an, Zentyal beherrscht<br />
aber auch IPsec und PPTP. Sogar<br />
die freie Telefonanlage Asterisk lässt sich<br />
auf Wunsch installieren und zumindest<br />
grundlegend konfigurieren.<br />
Das liebe Geld<br />
Kurzum: Es gibt offenbar kaum eine Serverfunktion,<br />
die Zentyal nicht beherrscht<br />
Basic, Small Business und<br />
Enterprise Subscription<br />
Das Supportmodell bietet drei Schienen:<br />
Die Basic Subscription ist gratis und bietet<br />
im Wesentlichen die Möglichkeit, die<br />
Zentyal-Konfiguration im Supportsystem<br />
des Herstellers zu sichern, um bei Bedarf<br />
einen Zentyal-Server so schnell wie<br />
Abbildung 5: Auf der URL [cloud. zentyal. com] steht das Kontroll-Interface für die eigenen Zentyal-Server<br />
bereit. Auch Alarme beim Monitoring poppen dort auf.
Sysadmin<br />
www.linux-magazin.de Zentyal 09/2012<br />
60<br />
Updates direkt vom Ubuntu-Server das<br />
System noch so funktioniert wie erwartet.<br />
Angesichts der jüngst veröffentlichten,<br />
ganz offiziellen und weltweiten Kooperation<br />
mit Canonical [11] verwundert<br />
dieser Hinweis doch sehr.<br />
Insgesamt wirkt die Herangehensweise<br />
etwas anachronistisch, versorgt doch<br />
selbst Microsoft Benutzer von illegal kopierten<br />
Windows-Versionen zumindest<br />
mit sicherheitskritischen Updates. Wer<br />
Zentyal im Unternehmenseinsatz betreiben<br />
möchte, wird daher kaum um die<br />
Subscription für Sicherheitsupdates herumkommen.<br />
Trainings<br />
Abbildung 6: In Zentyals Cloud lassen sich Rechner auch direkt verwalten und aktuell halten.<br />
möglich wiederherstellen zu können. Die<br />
Small Business Subscription richtet sich<br />
an Unternehmen mit bis zu 25 Benutzern<br />
und schlägt mit 60 Euro pro Monat zu<br />
Buche. Das größte Paket, die Enterprise-<br />
Version, kostet bereits happige 150 Euro<br />
pro Monat, hat dafür aber keine Begrenzung<br />
bei der Benutzerzahl.<br />
Die Subscriptions umfassen nicht nur die<br />
Möglichkeit, sich mit Problemen an den<br />
Hersteller des Systems zu wenden – dafür<br />
wären die Preise zu hoch. Zusätzlich bieten<br />
sie nützliche Funktionen, die Zentyal-<br />
Benutzern ohne Subscription verwehrt<br />
bleiben, etwa Malware- und Virenschutz.<br />
Weitere Dienstleistungen in der Small-<br />
Business- sowie der Enterprise-Variante<br />
bietet die detaillierte Übersicht auf [10].<br />
Backup statt HA?<br />
Zu den kostenpflichtigen Diensten gehört<br />
es auch, einen kompletten Zentyal-Host<br />
als Backup auf den Servern des Anbieters<br />
zu speichern (Enterprise-Edition). Wer<br />
sich dagegen mit der Small-Business-<br />
Server-Variante begnügt, kann zumindest<br />
lokal per GUI ein vollständiges Backup<br />
seines Zentyal-Servers anlegen, das er<br />
im Notfall auf einen anderen Rechner<br />
aufspielt. HA ist das allerdings nicht,<br />
sondern lediglich eine aufgehübschte<br />
Backup-Option.<br />
Auch die Remote-Management-Fähigkeiten<br />
von Zentyal richten sich an Unterneh-<br />
men, die keine eigene Infrastruktur fürs<br />
Monitoring und fürs Alerting aufbauen<br />
wollen. Auf Wunsch leistet Zentyal diese<br />
Dienste für Server mit Subscription selbst.<br />
Über das Zentyal-Webinterface kann der<br />
Admin dann angemeldete Server sowohl<br />
warten als auch überwachen (Abbildungen<br />
5 und 6). Fällt dann ein Host aus,<br />
schickt Zentyal an den Admin automatisch<br />
eine E-Mail.<br />
Updates nur gegen Geld<br />
Stirnrunzeln verursachen jedoch die<br />
Subscription-Services des Anbieters. Einerseits<br />
sind die angebotenen Zusatzleistungen<br />
zur völlig freien Grunddistribution<br />
durchaus attraktiv. Andererseits fallen<br />
unter die kommerziellen Zusatzfeatures<br />
auch solche, die die meisten Admins<br />
definitiv haben wollen – beispielsweise<br />
die Unterstützung eines Herstellers bei<br />
Sicherheitsupdates. Unangenehm fällt<br />
auf, dass Zentyal den Benutzern ohne<br />
Bezahl-Abo diese notwendigen Sicherheitsupdates<br />
vorenthält.<br />
Zwar gibt es im Webinterface durchaus<br />
eine Seite für Updates, doch ohne eine<br />
Zentyal-Subscription greift diese lediglich<br />
auf die aktualisierten Pakete aus dem<br />
Ubuntu-Sicherheitsrepository zurück.<br />
Am unteren Rand findet sich zudem eine<br />
beunruhigende Warnung, dass Zentyal<br />
keine Garantie dafür übernehmen kann,<br />
dass nach dem Einspielen der Ubuntu-<br />
Über einen weiteren Zusatzdienst baut<br />
der Hersteller eine Brücke für Admins,<br />
die Zentyal verwenden wollen, aber die<br />
Software noch nicht kennen und auch im<br />
Umgang mit <strong>Linux</strong> noch nicht besonders<br />
firm sind. E-Box bietet für solche Fälle<br />
ausführliche Erläuterungen in seinem<br />
Trainingsprogramm [12] an. Im Hintergrund<br />
arbeitet Moodle, das einerseits<br />
viele Lektionen bereithält, andererseits<br />
aber auch Tests anbietet, um das schon<br />
erworbene Zentyal-Wissen richtig einzuschätzen.<br />
Englisch ist dabei allerdings<br />
Voraussetzung, auf Deutsch gibt es die<br />
Kurse nicht.<br />
Angesichts der Vielzahl an genutzter<br />
freier Software gelingt E-Box mit Zentyal<br />
wirklich eine gelungene Mischung aus<br />
praktisch allen wichtigen Funktionen,<br />
die ein Server heute bieten kann. Ganz<br />
gleich, ob eine Firewall mit Routingfunktion<br />
gewünscht ist oder eine Asterisk-Telefonanlage,<br />
die gleichzeitig dank<br />
Bind als lokaler DNS-Server fungiert<br />
– mit Zentyal lassen sich praktisch all<br />
diese Funktionen und die meisten anderen<br />
denkbaren Kombinationen auf der<br />
System ebene abbilden.<br />
Zwar sind auch die aktualisierten Pakete<br />
aus dem Sicherheitsrepository von<br />
Ubuntu installierbar, doch weist Zentyal<br />
ausdrücklich darauf hin, dass diese nicht<br />
zwangsläufig völlig kompatibel mit den<br />
Zentyal-Modifikationen am Ubuntu-System<br />
sind. Zentyal-Admins kommen also<br />
de facto um die Small Business Subscription<br />
gar nicht herum. Wer weitere Features<br />
wie automatische Updates für den<br />
eingebauten Spamfilter will oder mehr
als 25 Clients über Zentyal anbinden<br />
möchte, braucht gar das Enterprise-Abo.<br />
So entsteht der Eindruck, dass die vermeintlich<br />
freie Distribution letztlich nur<br />
der Lockvogel ist, der ohne Subskription<br />
nur den halben Nutzen bringt. FOSS-<br />
Größen wie Richard Stallman sprechen<br />
in solchen Fällen gern von „Fake OSS“.<br />
Fazit<br />
Ob ein KMU auf Zentyal setzt, wird letztlich<br />
davon abhängen, wie groß die erwarteten<br />
Einsparungen tatsächlich sind.<br />
Wer die Enterprise Subscription bei E-Box<br />
Solutions kauft, zahlt im Jahr fast 1700<br />
Euro laut Liste, bekommt dafür aber eine<br />
eierlegende Wollmilchsau mit Online-<br />
Monitoring und -Backups und Support<br />
mit 4 Stunden Vorlaufzeit während der<br />
regulären Geschäftszeiten – und ein mit<br />
Ubuntu LTS integriertes Produkt.<br />
Das dürfte in den meisten Fällen günstiger<br />
sein als die Arbeitszeit, die ein Admin<br />
braucht, um die einzelnen Dienste selbst<br />
einzurichten. Wer eine Businesslösung<br />
für eigene Serverdienste sucht, sollte<br />
sich Zentyal also zumindest genauer anschauen.<br />
<br />
n<br />
Infos<br />
[1] Christoph Karg, Steffen Bornemann,<br />
„Blitzstart“: <strong>Linux</strong>-<strong>Magazin</strong> 01/09, S. 58<br />
[2] Oliver Schade, „Treiber-Injektion“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 05/03, S. 56<br />
[3] Autoyast mit Suse 12.1: [http:// doc.<br />
opensuse. org/ projects/ autoyast/]<br />
[4] Gunnar Wrobel, „Puppenspiel“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 10/08, S. 70<br />
[5] Tim Schürmann, „Chefkoch“:<br />
ADMIN-<strong>Magazin</strong> 04/10, S. 82<br />
[6] Microsoft Small Business Server:<br />
[https:// www. microsoft. com/ sbs/]<br />
[7] Zentyal: [http:// www. zentyal. org]<br />
[8] Kristian Kißling, „Out of the box“:<br />
<strong>Linux</strong> User 07/09, S. 24<br />
[9] FLYFL: [http:// www. fli4l. de]<br />
[10] Subscriptions im Vergleich:<br />
[http:// www. zentyal. com/ wp‐content/<br />
uploads/ 2012/ 05/ 2012_full_zentyal_<br />
edition_comparition_chart_en. pdf]<br />
[11] Zentyal und Canonical: [http://www.<br />
zentyal.com/news/zentyal-to-offer-a<br />
-linux-alternative-to-smb-it-infrastructure<br />
-with-support-from-canonical/]<br />
[12] Training zu Zentyal:<br />
[https:// training. zentyal. com/]<br />
[13] Ankündigung von Zentyal 3.0:<br />
[http:// www. zentyal. org/ archives/ 2012/<br />
03/ 08/ 905‐first‐zentyal‐2‐3‐installer<br />
‐available‐featuring‐samba4/]<br />
Der Autor<br />
Martin Gerhard Loschwitz<br />
arbeitet als Principal Consultant<br />
bei Hastexo. Er beschäftigt<br />
sich dort intensiv<br />
besonders mit High-Availability-Lösungen<br />
und pflegt in<br />
seiner Freizeit den freien <strong>Linux</strong>-Cluster-Stack für<br />
Debian GNU/<strong>Linux</strong>.<br />
Zentyal 09/2012<br />
Sysadmin<br />
www.linux-magazin.de<br />
61
Sysadmin<br />
www.linux-magazin.de I-doit 09/2012<br />
64<br />
IT-Inventarisierung mit I-doit<br />
Was gehört wohin?<br />
Mag sein, dass das sprichwörtliche Genie jedes Chaos beherrscht. In komplexen Umgebungen mit entsprechend<br />
vielen elektrischen und logischen Verbindungen tut sich aber selbst das Admin-Genie mit einer<br />
Inventarisierungs software wie der hier vorgestellten leichter – mit I-doit. Mark Schier<br />
vicemodellierung, Datenkonsolidierung,<br />
Sicherheitsmanagement und schnellere<br />
Störungsbeseitigung sorgen.<br />
Open oder Pro<br />
© Wu Kailiang, 123RF.com<br />
Der Netzwerker und das Chaos: Wer im<br />
Serverraum oder Rechenzentrum seinen<br />
Kopf für die wirklich wichtigen Dinge<br />
freihalten will, kommt ums Dokumentieren<br />
der Komponenten und Verkabelungen<br />
nicht herum. Bis vielleicht zehn<br />
Serverschränke reichen meist eine Tabellenkalkulation,<br />
ein Zeichenprogramm<br />
und ein Texteditor für Besonderheiten.<br />
Das Verknüpfen der auf diese Weise dokumentierten<br />
Objekte gelingt so freilich<br />
nicht, was bei zunehmender Komplexität<br />
der Umgebung mehr und mehr zum<br />
Nachteil gereicht.<br />
Als Ausweg empfiehlt sich eine Inventarisierungssoftware,<br />
die in einer vernünftigen<br />
Ansicht die Geräte verschiedenster<br />
Art dokumentiert. Die meisten Unternehmen<br />
beachten bei Beschaffung und<br />
Inbetriebnahme außerdem einen festgelegten<br />
Workflow, der sich in solch einem<br />
Programm ebenfalls wiederfinden sollte.<br />
Das berühmte i-Tüpfelchen wäre eine<br />
Möglichkeit, Netzpläne oder zumindest<br />
Verkabelungswege zu erfassen. Neben<br />
den technischen Zusammenhängen für<br />
den Netzwerker kommen in größeren<br />
Unternehmen noch der Service- und<br />
der kaufmännische Aspekt hinzu. Somit<br />
steigt die Erwartungshaltung an ein solches<br />
Tool merklich.<br />
Die zu befriedigen glaubt die Düsseldorfer<br />
IT-Firma Synetics mit ihrem Produkt<br />
I-doit [1]. Laut Hersteller bietet es die<br />
Möglichkeit, alles über eine Weboberfläche<br />
in einer Configuration Management<br />
Database (siehe Kasten „CMDB“) zu verwalten.<br />
Der Vorteil dieser Form der Dokumentation<br />
ist ihre Unabhängigkeit vom<br />
verwendeten Clientsystem. Besonders<br />
verlockend muss das auf Admins wirken,<br />
deren Abteilung vor dem Erlebnis einer<br />
Zertifizierung steht: Die Software soll für<br />
technische Betriebsdokumentation, Ser-<br />
I-doit ist in zwei Varianten erhältlich,<br />
der Open- unter der AGPLv3 und der<br />
proprietäre Pro-Version. Während die<br />
kostenfreie kaum mehr als die Inventarisierung<br />
mit Darstellung der einfachsten<br />
Abhängigkeiten bietet, gelingt es mit der<br />
Pro-Version, zum Beispiel IPv4- und IPv6-<br />
Adressen zu verwalten, das Netzwerk im<br />
Layer 2 und 3 zu dokumentieren und den<br />
IT-Grundschutz zu gewährleisten. Zudem<br />
gefällt die grafische Übersicht von Beziehungen<br />
im so genannten CMDB Explorer,<br />
er ist für den schnellen Überblick meist<br />
hilfreicher als eine volle Tabelle und nur<br />
in der Pro-Version verfügbar.<br />
Preise und Support<br />
Die Staffelung in der Pro-Version reicht<br />
von jährlich knapp 230 Euro für 500 Objekte<br />
bis knapp 3000 Euro ohne Objektlimit,<br />
die Details beschreibt [2]. Eine<br />
Supportmatrix bietet dem Kunden bemerkenswert<br />
unterschiedliche Möglichkeiten,<br />
sich vom Hersteller unter die Arme<br />
greifen zu lassen. Bei I-doit Open, das der<br />
Autor dieses Artikels für erste Gehversu-<br />
DELUG-DVD<br />
Für die Delug-DVD dieses <strong>Magazin</strong>s<br />
hat Synetics exklusiv eine Installati-<br />
DELUG-DVD<br />
onsversion von I-doit Pro zusammengestellt.<br />
Interessierte Leser erhalten damit eine uneingeschränkte<br />
Vollversion mit einjähriger<br />
Laufzeit (Web-basierte Registrierung nötig).<br />
Die Subskription verlängert sich nach dem<br />
einen Jahr nicht automatisch.
Abbildung 1: Läuft die Webapplikation, führt I-doit den Admin in sechs einfachen<br />
Schritten zügig durch das Setup.<br />
che nutzte, ist Hilfe dagegen nur über das<br />
Forum [3] zu erwarten. Hier steht zwar<br />
der eine oder andere Synetics-Mitarbeiter<br />
Rede und Antwort, die Reaktionszeiten<br />
aber sind für einen produktiven Betrieb<br />
nicht annehmbar.<br />
Objekte einpflegen<br />
Als Unterbau für I-doit eignet sich jedes<br />
gängige <strong>Linux</strong> (oder auch Windows) mit<br />
der übliche Kombination aus Apache,<br />
My SQL und PHP. Der Admin entpackt<br />
nun die I-doit-Zip-Datei ins Rootverzeichnis<br />
des Webservers. Die nötigen Rechte<br />
kann er über ein Skript aus der gepackten<br />
Datei auf einen Rutsch anpassen. Danach<br />
führt er über den Browser das Setup aus,<br />
das in sechs einfachen Schritten für die<br />
Einrichtung sorgt (Abbildung 1).<br />
CMDB<br />
Im Sinne der IT Infrastructure Library (ITIL)<br />
handelt es sich bei der Configuration Management<br />
Database um eine Datenbank, die<br />
dem Zugriff und der Verwaltung von Configuration<br />
Items (CIs, alle Betriebsmittel der IT)<br />
dient. Der Begriff Configuration führt dabei<br />
etwas in die Irre, gemeint sind der Bestand<br />
und die gegenseitigen Abhängigkeiten der<br />
verwalteten Objekte.<br />
Eine CMDB umfasst nicht nur die reine Inventarisierung,<br />
sondern unterstützt alle Module<br />
von Service Support und Service Delivery mit<br />
Bezug zu CIs. Dazu können auch organisatorische<br />
und kaufmännische Informationen eines<br />
CI gehören, beispielsweise die Benutzer,<br />
deren Abteilungen, Anschaffungs- und Zeitwerte<br />
sowie Beschaffungsinformationen und<br />
Informationen zum Produkt-Lebenszyklus<br />
eines CI. (Quelle: Wikipedia)<br />
Jetzt ruft der Benutzer<br />
die Webseite auf, die<br />
generell übersichtlich<br />
und gut durchdacht<br />
gestaltet ist. Auf der<br />
linken Seite sind die<br />
so genannten Objektgruppen<br />
wie Router,<br />
Switches, Patchfelder<br />
und Server aus dem<br />
Bereich Infrastruktur<br />
positioniert. Wählt er<br />
eine Gruppe aus, erscheint<br />
im rechten Bereich<br />
ein noch leeres<br />
Listenfeld wie in Abbildung<br />
2.<br />
Was auch immer der Benutzer ins Tool<br />
einpflegt – vom Kabel bis zum Bladecenter<br />
– bezeichnet I-doit als Objekt.<br />
Die Ansicht beim Erfassen eines Objekts<br />
ist reduziert, das Tool zeigt anfangs nur<br />
die allgemeinen Informationen. (Im<br />
»Admin«-Menü lässt sich konfigurieren,<br />
wie detailliert I-doit die Objekteigenschaften<br />
darstellen soll.) Jedes Feld in der<br />
Erfassungsseite ist eindeutig, plausibel<br />
und praxisgerecht gekennzeichnet.<br />
Sind die Grundelemente eines Unternehmens<br />
wie Standorte, Gebäude und Räume<br />
erst einmal erfasst, gelingt die Zuordnung<br />
beispielsweise eines Switch zu einem<br />
Schrank sehr einfach und schnell. Die<br />
dazu notwendigen Schritte finden sich in<br />
den jeweiligen Objekteigenschaften; über<br />
ein Pulldown-Menü wählt der Anwender<br />
die Gruppe und darin das Objekt (siehe<br />
Abbildung 3).<br />
Beziehungstat<br />
Sobald der erfassungswillige Admin alles<br />
oder zumindest vieles von seiner Umgebung<br />
eingetragen hat, nimmt er die<br />
Beziehungen der einzelnen Objekte zueinander<br />
in Angriff. Hierbei stellten die<br />
Tester fest, dass I-doit ein paar Probleme<br />
mit der Plausibilität hat: Wenn sie die<br />
Uplink-Ports eines Switch über ein Patchfeld<br />
führten, das im Serverraum A hing,<br />
und den Switch in den Raum B umzogen,<br />
dann berücksichtigte die Software<br />
die Abhängigkeit beider Objekte nicht<br />
automatisch – die Ports zeigten immer<br />
noch zum Patchfeld in Raum A. Dies gilt<br />
für alle Gruppen von Objekten.<br />
Das Thema Patchfelder wird auch im<br />
Supportforum heiß diskutiert, denn Synetics<br />
lässt dort eine eigene Interpretation<br />
der so genannten In- beziehungsweise<br />
Out-Seite zu. Der Anwender muss sich<br />
vorab festlegen, wie er ein Panel betrachtet.<br />
Die Tester entschieden sich dafür,<br />
das Panel um 90 Grad verdreht zu betrachten,<br />
das Ethernet-Kabel also „in“<br />
das Panel zu stecken, und die dahinterliegende<br />
Stammleitung als abgehend und<br />
somit als Out anzusehen. Trotz der selbst<br />
gewählten Konvention muss man aber<br />
das Lesen des Patchweges im Nachhinein<br />
neu erlernen.<br />
Gerade die Listenansicht gerät an dieser<br />
Stelle zur Geduldsprobe. Zum Glück<br />
kommt in I-doit Pro dem Anwender aber<br />
der erwähnte CMDB-Explorer zugute. Die<br />
kostenpflichtige Variante gestattet es dem<br />
Admin überdies, mehrere oder alle Ports<br />
eines Panels oder Switch in einem Zuge<br />
zu ändern.<br />
Der Filter-Schreck<br />
Da der Hersteller das System auf ITIL-<br />
Vorgaben und damit auf Nachvollziehbarkeit<br />
getrimmt hat, darf der Nutzer mit<br />
der Berechtigung »Editor« Objekte nur<br />
Abbildung 2: Auf der linken Seite sind die Objektgruppen angeordnet, rechts ein noch leeres Listenfeld.<br />
I-doit 09/2012<br />
Sysadmin<br />
www.linux-magazin.de<br />
65
Sysadmin<br />
www.linux-magazin.de I-doit 09/2012<br />
66<br />
Abbildung 3: Das Zuweisen der Objekteigenschaften geschieht über eine baumartig aufgebaute Hierarchie,<br />
die mit dem Standort beginnt.<br />
optisch löschen. Erst einer höheren Instanz,<br />
dem »Archivar«, ist es vergönnt, das<br />
Objekt zu entsorgen, was zudem eine<br />
Logfunktion dokumentiert.<br />
Die Darstellung lässt sich in der Infrastrukturansicht<br />
durch Filter beeinflussen.<br />
Manchem I-doit-Anfänger gerät die<br />
Ansichtsfilterung zum Verhängnis, etwa<br />
wenn er von der Objektgruppe »Router«<br />
zur Objektgruppe »Switche« wechselt –<br />
ähnlich wie in Abbildung 4 – und alle<br />
Switches plötzlich weg sind! Die unspektakuläre<br />
Ursache ist, dass der alte Filter<br />
aktiv blieb.<br />
Eine interessante und auch gesuchte<br />
Funktion ist das Abbilden eines Workflow,<br />
in I-doit zu finden in einem personalisierten<br />
Bereich unter »my‐doit«. Der<br />
Benutzer kann dort die ihm oder seiner<br />
Gruppe zugeteilten Aufträge einsehen<br />
und gegebenenfalls annehmen. Ebenfalls<br />
dort legt er für sich relevante Links<br />
innerhalb von I-doit ab. Auf diese Weise<br />
springt der Serveradmin zum Beispiel direkt<br />
in seine Gruppe »Server«. Synetics<br />
hat die Workflow-Funktion zwar nicht<br />
aufwändig implementiert und kundige<br />
Admins stolpern über eigentümliche Begrifflichkeiten,<br />
aber letztlich lässt sich mit<br />
dem Programmteil sehr gut arbeiten.<br />
Beschaffung und Garantie<br />
erfasst, wo und zu welchem Preis ein<br />
Gerät eingekauft wurde und mit welchem<br />
Garantiezeitraum es ausgestattet ist. Eine<br />
sinnvolle Funktion in diesem Zusammenhang<br />
findet sich unter dem Menüpunkt<br />
»Extras«. Dort lässt sich eine automatische<br />
Benachrichtigung für beliebige Objektarten<br />
einstellen, die wirksam wird,<br />
wenn Garantien ablaufen.<br />
Grundschutz<br />
Als ein in Deutschland und in größeren<br />
IT-Umgebungen praktisch nutzbarer Vorteil<br />
der Pro-Version erweist sich die Möglichkeit,<br />
alle BSI-Grundschutzkataloge<br />
zu importieren. Diese lassen sich dann<br />
direkt mit erfassten Objekten verknüpften<br />
– das dient im weiteren Sinne sogar<br />
der eigenen Qualitätskontrolle.<br />
Wer wie der Autor in einem Unternehmen<br />
arbeitet, das die ganze Palette der<br />
IT benutzt, ist froh darüber, auch Dinge<br />
wie Zoning im SAN oder Clusterknoten<br />
ausführlich dokumentieren zu können.<br />
Die in I-doit dafür vorgegebenen Gruppen<br />
sind bereits bestens ausgearbeitet und<br />
warten auf ihren Einsatz.<br />
Fazit und Einsatzgebiete<br />
Die IT-Inventarisierung I-doit zeigte sich<br />
im Test vom Installationsprozess bis zum<br />
Handling schlank und anpassbar. Die<br />
Funktionen und Objekte hat der Hersteller<br />
vorab gut definiert, der Admin passt<br />
sie nur noch an die Gegebenheiten des<br />
eigenen Unternehmens an – das funktioniert<br />
bis hin zu komplexen Strukturen mit<br />
SANs oder einem Oracle-Cluster. Alles<br />
kann (und sollte) der Admin miteinander<br />
verknüpfen, sodass sich ihm jede Abhängigkeit<br />
eines Objekts per Link erschließt.<br />
Dass I-doit das Umziehen von Objekten<br />
etwas besser unterstützen könnte, ist<br />
eine lässliche Sünde.<br />
Für kleinere Umgebungen lohnt sich der<br />
Aufwand nicht, mittelständische und<br />
große Unternehmen, die bislang ihre Infrastruktur<br />
in einer Calc-Tabelle inventarisieren,<br />
können wahrscheinlich von einer<br />
Lösung wie I-doit profitieren. Steht eine<br />
(Re-)Zertifizierung an, kommen die Vorteile<br />
der Pro-Version von I-doit besonders<br />
zur Geltung – und die Subskriptionskosten<br />
halten sich gegenüber vergleichbaren<br />
Produkten im Rahmen. Hervorzuheben<br />
sind zudem die vielfältigen Supportangebote<br />
des Herstellers. (jk) n<br />
Infos<br />
[1] I-doit: [http:// www. i‐doit. com]<br />
[2] Preis- und Supportmodell:<br />
[http:// www. i‐doit. com/ produkte‐services]<br />
[3] Hilfe für I-doit Open:<br />
[http:// forum. i‐doit. org]<br />
Der Autor<br />
Mark Schier arbeitet beim Rechenzentrum Niederrhein<br />
im Bereich Netzwerkadministration<br />
LAN/WAN. Wenn er den Kopf zwischendurch freibekommen<br />
will, malträtiert er sein Motorrad.<br />
Wie eingangs angedeutet bildet I-doit<br />
auch die kaufmännische Seite der IT-<br />
Infrastruktur ab, indem es zum Beispiel<br />
Abbildung 4: Kleiner Schock für Ungeübte: Die zwölf Switches in der Gruppe »Router« sind plötzlich verschwunden!<br />
In Wirklichkeit ist trotz Objektwechsel nur ein Ansichtsfilter aktiv geblieben.
BONUS<br />
Bis 15. Sept. Netbook GRATIS!<br />
Jetzt anmelden www.hackattack.com<br />
[Tag 1]<br />
>Hacking Tools Backtrack 5 & Co.<br />
>rechtliche Situation Hackerparagraph usw.<br />
>System Scan Zielsysteme finden<br />
>Mobile Devices Blackberry, IPhone & Co Neu!<br />
>Google Hacking<br />
>Exploits im Einsatz gegen Windows<br />
[Tag 2]<br />
>Virtual Machine Angriff auf virtuelle Server<br />
>DNS-Hacking Phishing advanced<br />
Neu! >VPN-Hacking So (un)sicher ist VPN<br />
>SSL Hacking HTTPS Verbindungen abhören<br />
>Website Hacking (SQL Injection, XSS, Command Exec...)<br />
[Tag 3]<br />
>VOIP abhören und absichern<br />
>WLAN WEP, WPA und WPA2 Neu!<br />
>Passwort Hacking Windows, Websites, Rainbow Tables ...<br />
>Biometrie Fingerabdruck fälschen<br />
>Penetration Testing mit Checkliste<br />
>Capture the flag Contest CTF mit dem gesammelten<br />
Wissen hacken Sie selbstständig ein System<br />
Das Penetration Testing Seminar<br />
[Hacking Advanced]<br />
> Hamburg<br />
> München<br />
> Köln Herbsttermine JETZT online<br />
> Frankfurt<br />
> Wien<br />
Preis: € 2.390,-/exkl. USt.<br />
Termine und Feedback zum Seminar online<br />
hackattack.com<br />
[Forensik im Unternehmen]<br />
>Wie erkennen Sie effektiv den Einbruch in Ihr System?<br />
>Wie sichert man Beweise gerichtsverwertbar?<br />
>Welche Tools unterstützen Sie bei der Einbruchsdetektion?<br />
>Welche organisatorischen und technischen Vorbereitungen sind<br />
jetzt zu treffen? Wie gehen Sie im Ernstfall strukturiert vor?<br />
>Welche Fehler müssen Sie vermeiden?<br />
>Welche straf- und zivilrechtlichen Möglichkeiten haben Sie?<br />
>Welche Spuren hinterlassen Täter im System?<br />
Gastredner: Thorsten Kuhles, CERT dt. Bundeswehr<br />
Stephan Schmidt, Fachanwalt IT Recht<br />
Kompaktwissen für den Ernstfall<br />
[Forensik Advanced]<br />
> Hamburg<br />
> München<br />
Herbsttermine JETZT online<br />
Preis: € 2.390,-/exkl. USt.<br />
>OWASP Top 10 basierend<br />
die OWASP Top 10 stellen die offizielle Hitliste<br />
der kritischsten Web Sicherheitsrisiken dar<br />
>Welchen Gefahren ist mein System ausgesetzt?<br />
>Wie erkennen Sie Sicherheitslücken der eigenen<br />
Applikation?<br />
>Wie können Schwachstellen beseitigt werden?<br />
Anhand eines konkreten Web Community Projekts<br />
lernen Sie die zehn gefährlichsten Schwachstellen kennen die von Angreifern<br />
ausgenutzt werden.<br />
... notwendige Theorie ...<br />
... noch mehr Praxis ...<br />
OWASP TOP 10 Seminar<br />
[Hacking WEB Apps]<br />
> Hamburg<br />
> München<br />
Herbsttermine JETZT online<br />
Preis: € 2.390,-/exkl. USt.<br />
HACKATTACK® IT SECURITY GmbH<br />
Hohenstaufenring 38-40<br />
50676 Köln<br />
>kostenlose Infoline<br />
0800 20 60 900<br />
hackATTACK<br />
®<br />
we hack to protect you
Forum<br />
www.linux-magazin.de Leserbriefe 09/2012<br />
68<br />
Auf den Punkt gebracht<br />
Leserbriefe<br />
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-magazin.de].<br />
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit<br />
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.<br />
Perl vermisst<br />
Erratum<br />
08/12, S. 14: Der Betreiber des Super MUC,<br />
des schnellsten Rechners Europas, ist das<br />
Leibniz-Rechenzentrum der bayerischen<br />
Akademie der Wissenschaften, nicht die TU<br />
München.<br />
len. Und sich vergewissern, dass Perl, im<br />
Gegensatz zu PHP(-CLI), bei einem frisch<br />
installierten <strong>Linux</strong> schon dabei ist.<br />
Florian Heß, per E-Mail<br />
Daten schreddern<br />
08/12, S. 62: Ich habe gerade den Bericht<br />
über das sichere Löschen von Festplatten<br />
durchgelesen und frage mich, warum er<br />
das Programm Shred nur kurz behandelt.<br />
Shred kann einzelne Dateien sicher<br />
vernichten, aber auch komplette Festplatten<br />
mehrfach überschreiben, wenn der<br />
Anwender nur das Device angibt. Zum<br />
Beispiel eine einzelne Datei:<br />
shred ‐v ‐f ‐n10 ‐z /home/thomas/datei.txt<br />
Oder die komplette Festplatte:<br />
shred ‐v ‐f ‐n10 ‐z /dev/sda<br />
Beide Aufrufe überschreiben zehnmal<br />
die Datei beziehungsweise das Device<br />
mit Zufallsdaten und zum Schluss alles<br />
nochmal mit Nullen.<br />
Sollte meine Methode eine Lücke aufweisen,<br />
so habe ich diese noch nicht entdecken<br />
können. Mit NTFS und Ext 3 formatierte<br />
Platten habe ich so schon gelöscht,<br />
mit Spinrite die Oberfläche „aufgefrischt“<br />
und mit verschiedenen Programmen von<br />
Ddrescue bis OO Rescue alles versucht,<br />
und nichts konnte ich wiederherstellen.<br />
Thomas Behrend, per E-Mail<br />
Wer Shred als übliches Löschprogramm<br />
benutzt, der mag durchaus finden, dass<br />
es bei der Besprechung zu kurz gekommen<br />
ist. Die Programme zum Wipen erfüllen<br />
eigentlich alle ihre Aufgabe. Unterschiedlich<br />
ist meist nur die Syntax. Bei Shred ist<br />
es sicher einfacher, mehrmaliges Löschen<br />
durchzuführen. Mit »dd« oder »dc3dd«<br />
06/12, S. 23: Zum Titelthema Scripting:<br />
Den Satz „Wer im Feld der Sprachen […]<br />
Perl vermisst, sei auf die regelmäßigen<br />
<strong>Linux</strong>-<strong>Magazin</strong>-Kolumnen zu diesen verwiesen“<br />
akzeptiere ich nicht. Ihr redaktionelles<br />
Bemühen um Ausgewogenheit in<br />
Ehren, doch im journalistischen Kontext<br />
wäre es mir als Leser wichtiger, dass die<br />
tatsächlichen Verhältnisse beschrieben<br />
werden, unverfälscht und ohne falsche<br />
Suggestionen.<br />
Es fällt mir durchaus schwer, an dieser<br />
Stelle nicht auf die sprachlich funktionellen<br />
und technischen Vor- und Nachteile<br />
von Perl und PHP (und speziell dessen<br />
CLI-Modus) einzugehen. Dazu haben<br />
sich ja schon unzählige auch erfahrene<br />
Programmierer im Internet geäußert.<br />
Hier die zwei wichtigsten pragmatischen<br />
Gründe, warum Perl trotz der Kolumnen<br />
in dem Artikel hätte berücksichtigt<br />
werden müssen: Perl gibt es seit 1987,<br />
während PHP (1992) erst 2002 mit einem<br />
CLI-Modus versehen oder vielmehr offenbar<br />
als Notbehelf drangeflanscht wurde.<br />
Das sind 15 Jahre Unterschied!<br />
Und Perl wurde und wird weit häufiger<br />
für Aufgaben der Systemadministration<br />
angewandt, zumal es sich um ein Kernanwendungsgebiet<br />
von Perl handelt,<br />
ähnlich wie das Web bei PHP. Welche<br />
Sprache hinsichtlich Zuverlässigkeit in<br />
der Systemverwaltung daher besser abschneiden<br />
dürfte, kann sich jeder ausmanutzt<br />
der Administrator aber meist noch<br />
zusätzliche andere Funktionen wie Klonen<br />
oder das Kopieren des MBR.<br />
Daneben kann ich nur davor warnen,<br />
eine Datei mit ihren Shred-Kommandozeilen<br />
als gelöscht zu betrachten. Es gibt<br />
heute kaum noch ein Dateisystem ohne<br />
Journal. Was nutzt ein zehnfacher Durchgang,<br />
wenn das Journal immer noch Dateireste<br />
enthält? (Hans-Peter Merkel)<br />
Lösch-Legende<br />
08/12, S. 62: Der Artikel „Weg damit!“<br />
kolportiert wieder mal den Mythos von<br />
Gutmann, dass man für sicheres Löschen<br />
einer Festplatte die Daten mehrfach („7-<br />
bis 35-mal“) überschreiben müsste. Hintergrund<br />
ist die Legende, dass man durch<br />
aufwändiges Messen eines „Restmagnetismus“<br />
den ursprünglichen Zustand der<br />
Daten rekonstruieren könnte.<br />
Bei der extrem hohen Informationsdichte<br />
heutiger Festplatten ist es sowieso eine<br />
Meisterleistung der Techniker, die einzelnen<br />
Bits zuverlässig zu speichern.<br />
Und jetzt sollen diese ferromagnetischen<br />
Elemente nicht nur ein Bit speichern,<br />
sondern sogar 3 (bei 7-fachen Überschreibungen)<br />
oder 6 (bei 35-fachen Überschreibungen)?<br />
Und die Elemente führen<br />
auch eine Historie in Form eines „Restmagnetismus“,<br />
um frühere Zustände für<br />
das FBI sichtbar zu machen?<br />
Der Wikipedia-Artikel zur Gutmann-<br />
Methode enthält übrigens den Satz: „In<br />
der Praxis konnten jedoch schon nach<br />
einmaligem Überschreiben keine Daten<br />
ausgelesen werden.“ Zu einem ähnlichen<br />
Fazit kamen auch diverse Datenrettungsdienste,<br />
die von der Zeitschrift „c’t“ befragt<br />
wurden.<br />
Bernhard Bablok, per E-Mail n
JETZT<br />
MIT DVD!<br />
MAGAZIN<br />
Sonderaktion<br />
Testen Sie jetzt<br />
3 Ausgaben<br />
für 3 Euro!<br />
Jetzt schnell bestellen:<br />
• Telefon 07131 / 2707 274<br />
• Fax 07131 / 2707 78 601<br />
• E-Mail: abo@linux-magazin.de<br />
• Web: www.linux-magazin.de/probeabo<br />
Mit großem Gewinnspiel unter:<br />
www.linux-magazin.de/probeabo<br />
Gewinnen Sie...<br />
eines von Sieben „SECU4Bags“<br />
Einsendeschluss ist der 15.09.2012<br />
zur Verfügung gestellt von
Forum<br />
www.linux-magazin.de Recht 09/2012<br />
70<br />
Software-Downloads berechtigen zum Weiterverkauf<br />
Auf zum Flohmarkt<br />
Software per Download anzubieten geht schnell, kostet wenig und hindert den Käufer daran, die Programme<br />
weiterzuveräußern. Zumindest galt das bisher. Der Europäische Gerichtshof sieht das anders – und krempelt<br />
die bisherige Rechtsprechung um. Fred Andresen<br />
© marshi, photocase.com<br />
Sieben Jahre währte der Streit – nun hat<br />
der Europäische Gerichtshof (EuGH) das<br />
letzte Wort gesprochen: Downloads sind<br />
so gut wie physische DVDs [1]. Jeder<br />
kann mit einer heruntergeladenen Datei<br />
tun und lassen, was er will. Im konkreten<br />
Fall ging es um die so genannte Verkehrsfähigkeit<br />
von Downloadkopien eines<br />
Computerprogramms sowie um die urheberrechtliche<br />
„Erschöpfung“. Sie führt<br />
dazu, dass der rechtmäßige Erwerber eines<br />
urheberrechtlich geschützen Werks<br />
es weiterveräußern darf, auch gegen den<br />
Willen oder die Interessen des Urhebers<br />
oder anderer Rechteverwerter.<br />
Es ging um Oracles (Abbildung 1) Klage<br />
gegen einen Gebrauchtsoftware-Händler.<br />
Und es ging um eine Gesetzesauslegung,<br />
die sich so ganz anders darstellt, als der<br />
eigentliche Wortlaut.<br />
Seit 2005 streitet Oracle mit Usedsoft (Abbildung<br />
2), weil das Schweizer Unternehmen<br />
und seine Töchter mit gebrauchten<br />
Softwarelizenzen handeln. Der Knackpunkt<br />
ist, dass Oracle Datenbankserver-<br />
Lizenzen per Download vertreibt, nur<br />
auf Wunsch auch auf DVD. Der Verkauf<br />
erfolgt im Paket mit einer bestimmten<br />
Anzahl von Clientzugriffen. Wer weniger<br />
Clientlizenzen benötigt, muss dennoch<br />
das volle Paket erwerben.<br />
Online: Markt für<br />
gebrauchte Software<br />
Die Schweizer erkannten den Markt für<br />
bedarfsentsprechende Einzellizenen. Sie<br />
kauften Oracles Kunden nicht benötigte<br />
Lizenzen ab und gaben sie wohlportioniert<br />
an die eigenen Kunden weiter. Das<br />
erfolgte mit Brief und Siegel eines Notars,<br />
damit die Erwerber sich auf die rechtmäßige<br />
Übertragung der Lizenz verlassen<br />
konnten. Dem Erstverkäufer Oracle passte<br />
das natürlich gar nicht in den Kram. Also<br />
verklagte er den Gebrauchtwarenhändler<br />
anno 2005 auf Unterlassung.<br />
Die Mühlen der Justiz mahlen gründlich,<br />
aber langsam. Die Sache wanderte<br />
vor den Bundesgerichtshof, der sich aber<br />
auch nicht sicher war, wie die einschlägigen<br />
nationalen Rechtsvorschriften auszulegen<br />
sind. Der Fall betrifft das Urheberrechtsgesetz<br />
(UrhG) vor dem Hintergrund<br />
der EU-Vorschriften, die das UrhG<br />
umsetzen muss.<br />
Die deutschen Höchstrichter erkannten<br />
eine Regelungslücke, mindestens jedoch<br />
einen Widerspruch. Ihnen drängte sich<br />
die Frage auf: Ist es denn ein Unterschied,<br />
ob ein Programm auf einem Datenträger<br />
zu seinem Lizenznehmer findet oder nur<br />
als Kopie, die der Käufer rechtmäßig aus<br />
dem Internet gezogen hat?<br />
Trennung von Werk<br />
und Inhalt<br />
Die bisherige Lesart des deutschen Urheberrechts<br />
vermerkt in der Tat einen<br />
Unterschied. Der Grund: Nach deutschem<br />
Recht geht das Eigentum an einem<br />
urheberrechtsfähigen Werk niemals<br />
vollständig auf seinen Käufer über, der<br />
Käufer erwirbt nur bestimmte Nutzungsoder<br />
Verwertungsrechte. Der Urheber bestimmt<br />
im Übrigen allein und ausschließlich<br />
über sein Werk. Das gilt, bis es nach<br />
Ablauf einer bestimmten Frist gemeinfrei<br />
wird – also praktisch allen gehört.<br />
Das klappt auch ganz gut bei bestimmten<br />
Werken. Ein Lied etwa lässt sich<br />
nicht so recht als Eigentum von jeman-
dem beschreiben. Wenn hingegen<br />
Noten und Text auf dem<br />
Papier festgehalten sind, lässt<br />
sich ein solcher Zettel sehr gut<br />
als Eigentum ansehen (Abbildung<br />
3). Das Gleiche gilt bei<br />
Büchern: Wer es kauft, darf es<br />
weiterverschenken oder verleihen.<br />
Jedoch fällt es schwer zu<br />
begreifen, dass einem der Inhalt<br />
nicht gehört.<br />
Die alten Juristen in Frankreich,<br />
die sich das Urheberrecht ausgedacht<br />
haben, fanden die<br />
passende Lösung: Sie trennten<br />
Inhalt und Ding, also das Werk<br />
an sich und den Gegenstand,<br />
der es verkörpert. Das eine ist<br />
das urheberrechtliche Werk,<br />
das andere solle „Werkstück“ heißen,<br />
„körperliche Ausformung“ oder „Kopie“.<br />
Das erschien in der Zeit des beginnenden<br />
Buchdrucks als der richtige Weg, denn die<br />
erleichterte Vervielfältigung per Druckerpresse<br />
verlangte passendes Recht.<br />
Download eines Werks?<br />
Als Schlüsselbegriff gilt seither das so<br />
genannte Werkstück. Jeder durfte seine<br />
legal erworbenen Werkstücke nicht nur<br />
nutzen, zum Beispiel lesen, sondern auch<br />
weiterveräußern oder nach Belieben anders<br />
damit verfahren. Den Faden zum<br />
Urheber kappte der so genannte Erschöpfungsgrundsatz:<br />
Wenn ein Werkstück mit<br />
Zustimmung des Urhebers erstmalig in<br />
den Verkehr gelangt, etwa durch Verkauf,<br />
erschöpfen sich die Rechte des Urhebers<br />
an diesem konkreten Werkstück. Es ist<br />
fortan eigentumsfähig wie jede andere<br />
Sache auch.<br />
Weil sich das Gesetz aber ausschließlich<br />
auf körperliche Objekte bezieht, hinkt<br />
die Regelung seit Aufkommen des Internets<br />
und seiner digitalen Versionen<br />
von Dingen der Realität hinterher. Der<br />
Kopierfreiheit begegneten Legislative<br />
und Justiz in der Folge mit der klaren<br />
Aus sage: Der Erschöpfungsgrundsatz<br />
gilt nur für körperliche Werkstücke. Das<br />
stärkte die Rechte des Urhebers, der in<br />
den frei verfügbaren Digitalkopien eine<br />
wirtschaftliche Bedrohung sah.<br />
Wie immer, wenn der Gesetzgeber einen<br />
bestimmten Adressatenkreis schützt,<br />
gerät das zum Nachteil des restlichen<br />
Abbildung 1: Oracle ist nach jahrelangem Streit gegen den Wiederverkauf<br />
seiner Datenbanklizenzen unterlegen.<br />
Publikums. Dazu gehören die Onlineverkäufer<br />
von Software. Weil der Downloadvertrieb<br />
nicht nur schnell und einfach<br />
ist, sondern auch wenig kostet, bieten<br />
inzwischen sogar manche Distributoren<br />
ausschließlich den Download von Programmen<br />
an und keine physischen Datenträger<br />
mehr. Motto: Die DVD ist tot,<br />
es lebe der Download.<br />
Allerdings kann niemand Musiktitel oder<br />
E-Books auf Flohmärkten verscherbeln,<br />
auch nicht, wenn er sie rechtmäßig erworben<br />
hat. Früher war das mit den körperlichen<br />
Pendants noch ohne Weiteres<br />
möglich. Außerdem sind Kunden gegebenenfalls<br />
gezwungen, gleich mehrere<br />
Clientlizenzen zu erwerben, wenn die<br />
gewünschte Software nur als Mehrfachbündel<br />
vorliegt. Sie bezahlen also mehr,<br />
als sie brauchen.<br />
So kommt es zum Streit, der wie im<br />
vorliegenden Fall sogar vor das höchste<br />
europäische Gericht zieht. Das hat die<br />
einschlägigen EU-Richtlinien säuberlich<br />
examiniert und kommt zu einem Schluss,<br />
den scheinbar keiner haben wollte. Wortklauberei,<br />
die juristische Paradedisziplin,<br />
macht’s möglich.<br />
Das steht doch im Gesetz!<br />
Das deutsche Urheberrecht setzt für die<br />
hier streitgegenständlichen Vorschriften<br />
im Wesentlichen zwei EU-Richtlinien um:<br />
Die Urheberrichtlinie [2] und die Computersoftwarerichtlinie<br />
[3]. Die erste Richtlinie,<br />
befindet der EuGH, überlasse es<br />
den Mitgliedsstaaten, die Grundsätze der<br />
Erschöpfung von Urheberrechten<br />
in Bezug auf Werkstücke zu<br />
regeln. Die gemeinschaftsrechtlichen<br />
Regelungen über den<br />
Schutz von Computerprogrammen<br />
bleiben unberührt. Die<br />
zweite Richtlinie besage, dass<br />
sich mit dem Erstverkauf einer<br />
Programmkopie das Recht auf<br />
die Verbreitung dieser Kopie<br />
in der Union erschöpft. Wichtig:<br />
Das Wort „Programmkopie“<br />
fällt, nicht etwa das Wort<br />
„Werkstück“.<br />
Das ist ein folgenschwerer Unterschied:<br />
Die Softwarerichtlinie<br />
genießt Vorrang, denn die Urheberrichtlinie<br />
enthält eine Passage,<br />
dass alle bestehenden Vereinbarungen<br />
über Computersoftware von<br />
der Urheberrichtlinie unberührt bleiben.<br />
Die Computersoftwarerichtlinie ist eine<br />
so genannte spezialgesetzliche Regelung:<br />
Die hier enthaltenen Bestimmungen kegeln<br />
die allgemeineren Bestimmungen<br />
der Urheberrichtlinie aus – auch den Erschöpfungsgrundsatz.<br />
© Oracle<br />
Ein Wort entscheidet<br />
Da die Softwarerichtlinie nun nicht den<br />
Begriff des Werkstücks, sondern den<br />
der Programmkopie benutzt, und da ein<br />
Programm „in allen Ausdrucksformen“ –<br />
auch in digitaler Form – als Programm im<br />
Abbildung 2: Peter Schneider ist Gründer und<br />
Geschäftsführer von Usedsoft. Edeka, die Sparkasse<br />
und deutsche Behörden zählen zu seinen Kunden.<br />
© UsedSoft<br />
Recht 09/2012<br />
Forum<br />
www.linux-magazin.de<br />
71
Forum<br />
www.linux-magazin.de Recht 09/2012<br />
72<br />
© Gerti G., photocase.com<br />
Abbildung 3: Ein Lied kann nicht den Besitzer wechseln, wohl aber das Papier, auf dem es geschrieben steht.<br />
Sinne der Richtlinie gilt, erschöpfen sich<br />
die Urheberrechte nach dem Erstverkauf<br />
der digitalen Kopie. Auf eine sinngemäße<br />
Anwendung des „Werkstück“-Begriffs<br />
geht die Richtlinie nicht ein.<br />
Unteilbares Ganzes<br />
Der EuGH legt den Begriff „Verkauf“ (also<br />
Erstverkauf) gemeinschaftskonform aus<br />
als Vereinbarung, nach der eine Person<br />
ihre Eigentumsrechte an einem ihr gehörenden<br />
körperlichen oder nicht körperlichen<br />
Gegenstand gegen Entgelt an eine<br />
andere Person überträgt. Die bisherige<br />
deutsche Rechtsprechung folgte der zweiteilenden<br />
Sichtweise des Urheberrechts:<br />
Niemand konnte das Eigentum an einem<br />
Programm übertragen, das als urheberrechtliches<br />
Werk galt. Übertragbar waren<br />
lediglich Nutzungsrechte.<br />
Der EuGH sieht aber die Übertragung des<br />
Programms und die Einräumung des Nutzungsrechts<br />
als unteilbares Ganzes. Denn<br />
das Herunterladen einer Programmkopie<br />
sei sinnlos, wenn der Besitzer sie nicht<br />
benutzen dürfe, so die Argumentation.<br />
Stattdessen sei die Übertragung in ihrer<br />
Gesamtheit zu prüfen.<br />
Bei Oracle bedeutet das, dass mit der<br />
Verfügbarkeit eines Computerprogramms<br />
und dem Abschluss eines Lizenzvertrags<br />
diese Kopie für Kunden dauerhaft nutzbar<br />
ist. Dafür zahlen sie ein Entgelt, mit dem<br />
der Urheberrechtsinhaber eine dem wirtschaftlichen<br />
Wert seines Werkes entsprechende<br />
Vergütung erzielt. Daher werde,<br />
so der EuGH, tatsächlich das Eigentum<br />
an der Programmkopie übertragen.<br />
Das scheint allerdings ein wenig undifferenziert.<br />
Den Eigentumsbegriff kennzeichnet<br />
ja nicht nur, eine Sache bestimmungsgemäß<br />
benutzen zu können, sondern<br />
auch, sie nach Belieben auf andere<br />
Weise zu verwenden. Bei Programmcode<br />
liegt es zum Beispiel nahe, ihn zu bearbeiten.<br />
Das ist jedoch ein urheberrechtliches<br />
Bearbeitungsrecht, das regelmäßig<br />
gesondert vom reinen Nutzungsrecht<br />
übertragen wird. Der EuGH hat sich mit<br />
dieser Frage nicht auseinandergesetzt.<br />
Daher muss wohl die „Eigentumsübertragung“<br />
ausschließlich als Übertragung<br />
von Nutzungs- und Weiterveräußerungsrechten<br />
anzusehen sein.<br />
Download ist Verkauf<br />
Auch der Erstverkauf mit Zustimmung<br />
des Urhebers war für den EuGH nur eine<br />
Formsache: Der erstmalige Download,<br />
angeboten von Oracle, sei Teil der beschriebenen<br />
entgeltlichen Gesamtübertragung<br />
von Programm und Lizenz. Damit<br />
gilt die Übertragung als Erstverkauf einer<br />
Programmkopie. Es ist ja unerheblich, ob<br />
das Programm als Download oder per Datenträger<br />
bereitsteht. Das Gericht sagt, es<br />
komme nicht auf die Vermarktungsform<br />
an, weil sonst der Veräußerer die Übertragung<br />
bloß als „Lizenzvertrag“ statt als<br />
„Kaufvertrag“ bezeichnen müsse, um die<br />
Erschöpfung auszuhebeln.<br />
Die einheitliche Betrachtungsweise der<br />
Übertragung bedeutet übrigens auch,<br />
dass Händler die eingangs erwähnten Lizenzpakete<br />
nicht aufsplitten dürfen, um<br />
sie einzeln zu veräußern.<br />
Das Urteil des EuGH hat die bisherige<br />
Rechtsprechung umgekrempelt: Benutzer<br />
dürfen ihre gebrauchte Software auch<br />
dann weiterverkaufen, wenn sie sie in<br />
Form eines Downloads bezogen haben.<br />
Entgegegenstehende Lizenzvereinbarungen<br />
der Hersteller sind nichtig. Das gilt<br />
übrigens nur für Softwaredownloads,<br />
nicht etwa für Musik: Heruntergeladene<br />
Songs erschöpfen sich auch weiterhin urheberrechtlich<br />
nicht nach einem Download.<br />
Und auch bei Mehrfachlizenzen gibt<br />
es keine Möglichkeit, diese aufzuspalten<br />
und einzeln zu veräußern.<br />
Wer Software per Lizenzmodell im<br />
Download vertreibt, wird seine Verkaufsbedingungen<br />
anpassen müssen: Er kann<br />
nicht mehr verhindern, dass Kunden die<br />
Programme weiterverkaufen. Interessant<br />
wird das auch noch dann, wenn<br />
die Programme nur individualisiert oder<br />
per Online verifizierung freigeschaltet<br />
wurden. Damit rücken auch Videospiele<br />
ins Rampenlicht, die nur mit dedizierten<br />
Spieler-Accounts laufen. Die Spieler können<br />
hier demnach künftig entsprechende<br />
technische Maßnahmen der Game-Hersteller<br />
vor Gericht durchsetzen.<br />
Der Ort entscheidet<br />
Alles Gesagte gilt nur für Programmdownloads,<br />
die mit Zustimmung des Urhebers<br />
erfolgten und die im Gebiet der Europäischen<br />
Union zum Erstverkauf gelangen.<br />
Zu beachten ist: Der Erfüllungsort beim<br />
Onlinedownload ist regelmäßig der Server<br />
des Verkäufers. (ake)<br />
n<br />
Infos<br />
[1] Urteil des EuGH vom 3.7.2012,Az. C-128/11:<br />
[http:// lexetius. com/ 2012,2612]<br />
[2] EU-Urheberrichtlinie 2001/29/EG: [http://<br />
eur‐lex. europa. eu/ LexUriServ/ LexUriServ.<br />
do? uri=OJ:L:2001:167:0010:0019:DE:PDF]<br />
[3] EU-Softwarerichtlinie 2009/24/EG: [http://<br />
eur‐lex. europa. eu/ LexUriServ/ LexUriServ.<br />
do? uri=OJ:L:2009:111:0016:0022:DE:PDF]<br />
Der Autor<br />
RA Fred Andresen ist Mitglied<br />
der Rechtsanwaltskammer<br />
München und der Arbeitsgemeinschaft<br />
Informationstechnologie<br />
im Deutschen<br />
Anwaltverein (DAVIT).
Bücher zu C++11 sowie zu KVM<br />
Tux liest<br />
Bücher 09/2012<br />
Forum<br />
Die Bücherseite widmet sich einem C++11-Buch für Umsteiger. Der zweite Titel vermittelt einen Einstieg in den<br />
Betrieb virtueller Maschinen mit KVM. Tim Schürmann, Udo Seidel<br />
www.linux-magazin.de<br />
73<br />
<strong>Linux</strong>-<strong>Magazin</strong>-Leser wissen: Unter der<br />
Bezeichnung C++11 erschien Ende 2011<br />
eine überarbeitete und erweiterte Fassung<br />
der Programmiersprache C++. Torsten<br />
T. Will stellt in seinem Buch „C++11<br />
programmieren“ alle wichtigen Neuerungen<br />
vor und liefert Tipps für ihren<br />
Praxiseinsatz.<br />
Syntax und Bibliothek<br />
Das Buch beschränkt sich nicht auf die reformierte<br />
Syntax, sondern kümmert sich<br />
auch um die Änderungen in der Standardbibliothek.<br />
Jeder Neuerung widmet<br />
der Autor ein eigenes Kapitel. Dabei geht<br />
er stets gleich vor: Zunächst gibt er einen<br />
kleinen Überblick über das betreffende<br />
Sprachelement. Anschließend nennt er<br />
die Gründe für dessen Einführung, liefert<br />
Beispielcode, weist auf problematische<br />
Konstrukte hin und erläutert, wie der<br />
Leser die Neuerung sinnvoll in eigenen<br />
Programmen einsetzt.<br />
Den Abschluss bildet stets eine Faustregel,<br />
das „Mantra“, das sich der Leser gut<br />
merken möge. Durch diese pfiffige Kapitelstruktur<br />
kann man das Buch entweder<br />
als Einführung von vorne bis hinten lesen<br />
oder sich genau die Elemente herauspicken,<br />
die man im Alltag benötigt.<br />
In den Beispielen nutzt Will von Anfang<br />
an alle Neuerungen aus C++11 – auch<br />
wenn er sie erst später vorstellt. Das soll<br />
Info<br />
Torsten T. Will:<br />
C++11 programmieren<br />
Galileo Computing, 2012<br />
410 Seiten<br />
30 Euro<br />
ISBN: 978-3-8362-1732-3<br />
den Umgang mit den Neuerungen schulen.<br />
Der Autor setzt zudem das komplette<br />
Wissen um den alten C++-Standard voraus<br />
und geht in seinen Ausführungen<br />
mitunter recht weit in die Tiefe.<br />
Anders als auf dem Einband suggeriert,<br />
richtet sich das Buch somit nicht an Umsteiger<br />
von anderen Sprachen – die sind<br />
bei einem Titel für C++-Anfänger besser<br />
aufgehoben. Auch wer nur gelegentlich<br />
in der Sprache programmiert, steht häufiger<br />
wie der Ochs vorm Berg. In diesem<br />
Fall sollte man zunächst alle Einleitungen<br />
zu den einzelnen Kapitel anlesen und<br />
sich erst danach vom Anfang an durch<br />
die Kapitel fräsen.<br />
C++-Profis hingegen finden in dem Buch<br />
von Torsten T. Will einen schnellen Überblick<br />
über alle relevanten Neuerungen<br />
und Dank der zahlreichen Praxistipps<br />
auch ein wertvolles Nachschlagewerk für<br />
ihren Programmieralltag.<br />
KVM-Virtualisierung<br />
Die Virtualisierungstechnologie KVM ist<br />
schon seit Kernel 2.6.20 integraler Bestandteil<br />
von <strong>Linux</strong>. Mit einiger Verzögerung<br />
sind nun auch deutschsprachige<br />
Bücher zum Thema erhältlich. Zu den<br />
Neuerscheinungen gehört „KVM Best<br />
Practices“, das vier Mitarbeiter der Firma<br />
B1 Systems verfasst haben.<br />
Das Buch bietet eine Einführung in den<br />
Bereich Virtualisierung, im zweiten Kapitel<br />
geht es mit KVM selbst los. Dabei<br />
legen die Autoren Ubuntu sowie die<br />
Enterprise-Distributionen von Red Hat<br />
und Suse zugrunde, womit die wichtigsten<br />
<strong>Linux</strong>-Varianten abgedeckt sind. Der<br />
Text ist weitgehend allgemein gehalten,<br />
sodass eine Übertragung auf andere <strong>Linux</strong>e<br />
leicht fällt. Die B1-Mitarbeiter erläutern<br />
zunächst die Installation von KVM<br />
und der wichtigsten Verwaltungswerkzeuge.<br />
Die weiteren Kapitel behandeln<br />
Netzwerk, Datenspeicherung, Backup,<br />
Migration und Hochverfügbarkeit.<br />
Durch die Komplexität des Themas bleibt<br />
es nicht aus, dass der Leser nicht alles<br />
Wissen an einer einzigen Textstelle finden<br />
kann. Die Verfasser stellen in diesem<br />
Fall eine kurze Erklärung bereit und verweisen<br />
geschickt auf andere Abschnitte,<br />
die mehr Details bieten.<br />
Ein ganzes Kapitel ist der Installation des<br />
Gastbetriebssystems gewidmet. Die Themen<br />
PXE-, NFS- und I-SCSI-Boot sind<br />
allerdings nicht KVM-spezifisch und gelten<br />
ebenso für andere Virtualisierungslösungen<br />
und physikalische Server. Ein<br />
Verweis auf die vorhandene Literatur<br />
hätte gereicht.<br />
Den gewonnenen Platz hätten die Autoren<br />
SPICE (Simple Protocol for Independent<br />
Computing Environments) oder<br />
Open V-Switch widmen können, die im<br />
KVM-Umfeld an Bedeutung gewinnen.<br />
Der Rezensent selbst hat gemischte Erfahrungen<br />
mit den einzelnen Migrationstools<br />
gemacht und hätte sich entsprechende<br />
Warnhinweise an den Leser gewünscht.<br />
Diese Lücken trüben etwas den Eindruck<br />
des Buches. Zusatzrecherchen des Lesers<br />
im WWW sind nahezu unvermeidlich.<br />
Dennoch erhält der Käufer ein kompaktes<br />
Werk, das einen hinreichenden Einstieg<br />
in die KVM-Welt bietet. (mhu) n<br />
Info<br />
Chr. Arnold, M. Rode, J.<br />
Sperling, A. Steil:<br />
KVM Best Practices<br />
Dpunkt, 2012<br />
300 Seiten<br />
37 Euro<br />
ISBN: 978-3-89864-737-3
Know-how<br />
www.linux-magazin.de Kern-Technik 09/2012<br />
76<br />
Kernel- und Treiberprogrammierung mit dem <strong>Linux</strong>-Kernel – Folge 64<br />
Kern-Technik<br />
Der Boot Tracer und Bootchart helfen dabei, den Bootvorgang detailliert zu analysieren. Schon ein paar Maßnahmen<br />
später ist das <strong>Linux</strong>-System spürbar schneller betriebsbereit. Jürgen Quade, Eva-Katharina Kunst<br />
© psdesign1, Fotolia<br />
64<br />
Die heute gängige Bootzeit von ein bis<br />
zwei Minuten für ein Desktop-<strong>Linux</strong> ist<br />
nicht gerade beeindruckend. Für den<br />
Einsatz im Embedded-Bereich wäre sie<br />
geradezu undenkbar. Eine Digitalkamera,<br />
die 60 Sekunden zum Hochfahren benötigt,<br />
findet nicht viele Käufer, ebenso ein<br />
Auto, das nach dem „Keyless Access“<br />
zwei Minuten mit der Meldung „Fahrzeug-Informationssystem<br />
- Booting“ für<br />
Stillstand sorgt.<br />
Dabei geht es schneller, wie diverse im<br />
Internet publizierte Erfolgsgeschichten<br />
belegen. Dort wurden mit überschaubarem<br />
Aufwand Bootzeiten im einstelligen<br />
Sekundenbereich und teilweise sogar darunter<br />
erreicht. So bootet etwa das unter<br />
[1] gezeigte Embedded-System auf einem<br />
Beagleboard in 630 Millisekunden von<br />
Power-on bis in eine Shell.<br />
Für einen möglichst schnellen Bootvorgang<br />
gilt es, die Systemkomponenten in<br />
Handarbeit anzupassen.<br />
Davor ist außerdem<br />
eine zeitliche<br />
Analyse des Bootvorgangs<br />
erforderlich,<br />
der sich beim so genannten<br />
Cold Boot in<br />
die vier Phasen Bootstrap,<br />
Bootloader,<br />
Kernel und Userland<br />
gliedert (siehe Abbildung<br />
1).<br />
Die Phase Bootstrap<br />
entspricht dabei dem<br />
Bios beziehungsweise<br />
der Abarbeitung des<br />
Codes, der in einem<br />
Festspeicher (ROM)<br />
untergebracht ist. Der<br />
typischerweise einfache<br />
Bootstrap-Code<br />
lädt am Ende den<br />
Bootloader, der wiederum für das flexible<br />
Laden eines Root-Dateisystems und des<br />
Betriebssystems zuständig ist.<br />
Seriell beobachtet<br />
Für die zeitliche Analyse der Bootstrapund<br />
der Bootloader-Phase empfehlen die<br />
Kernelhacker das Werkzeug Grabserial<br />
[2], das sich allerdings nur einsetzen<br />
lässt, wenn das zu untersuchende System<br />
über eine serielle Schnittstelle verfügt.<br />
Grabserial läuft dabei nicht auf dem zu<br />
untersuchenden System selbst, sondern<br />
auf einem eigenen Host, der die über die<br />
serielle Schnittstelle ausgegebenen Bootnachrichten<br />
empfängt.<br />
Die Aufgabe ist simpel: Zu jeder Nachricht<br />
fügt die Software einen genauen<br />
Zeitstempel hinzu. Die Auswertung der<br />
zeitbehafteten Nachrichten von Bootstrap<br />
und Bootloader bleibt aber Handarbeit<br />
für den Entwickler. Auch in der Phase des<br />
Kernelboots lässt sich Grabserial einsetzen.<br />
Etwas komfortabler geht es aber mit<br />
Boot Tracer zu. Das Werkzeug ist seit Version<br />
2.6.28 Teil des <strong>Linux</strong>-Kernels in der<br />
so genannten Tracing-Infrastruktur. Sobald<br />
Boot Tracer durch die Bootoption<br />
initcall_debug printk.time=1<br />
aktiviert ist, protokolliert es die Startund<br />
Endzeitpunkte der Kernel-Initialisierungsfunktionen,<br />
der so genannten<br />
Initcalls (siehe Abbildung 2). Es registriert<br />
die Zeitdauer ebenso wie Erfolg<br />
oder Misserfolg einer Init-Funktion. Der<br />
Kernelhacker Arjan van de Ven hat darüber<br />
hinaus mit »bootgraph.pl« ein Perl-<br />
Skript geschrieben, das die vom Boot Tracer<br />
generierten Informationen grafisch<br />
aufbereitet. Torvalds legt dieses Skript<br />
seinem Kernel-Quellcode im »scripts«-<br />
Verzeichnis bei.<br />
Da Distributionen wie beispielsweise<br />
Ubuntu die Tracing-Infrastruktur im<br />
Kernel unterstützen, kann der Anwender<br />
den Bootprozess mit wenig Aufwand<br />
selbst analysieren (siehe Kasten „Boot<br />
Tracer im Einsatz“). Das Augenmerk ist<br />
Bootphase<br />
Bootstrap<br />
Bootloader<br />
Kernel<br />
Userland<br />
Werkzeuge<br />
Grabserial<br />
Grabserial<br />
Boot Tracer<br />
Bootchart<br />
Abbildung 1: Je nach Bootphase stehen zur Analyse<br />
unterschiedliche Werkzeuge bereit.
Abbildung 2: Der Boot Tracer protokolliert Zeitverhalten und Returncodes der Initialisierungsfunktionen.<br />
in der generierten Grafik auf die lang<br />
gezogenen Felder zu richten. Abbildung<br />
4 beispielsweise zeigt die Boot-Tracer-<br />
Ausgaben für ein System, das mit den<br />
Default-Einstellungen von Buildroot [3]<br />
für ARM entstand. Demnach dauert das<br />
Booten des Kernels bis zum Mounten<br />
des Root-Filesystems unter dem Emulator<br />
Qemu 3880 Millisekunden.<br />
Eingebaute Wartezeit<br />
Auffällig ist der etwa 3 Sekunden lange<br />
blaue Bereich, den die Funktion »sym2_<br />
init()« verursacht. Eine Quellcode-<br />
Recherche zeigt, dass diese Funktion<br />
zum SCSI-Treiber »sym53c8xx« gehört.<br />
Im Rahmen der Funktion wartet der<br />
Kernel über einen 3-Sekunden-Timeout<br />
auf SCSI-Geräte. Dieses Verhalten lässt<br />
sich allerdings per Bootoption abstellen.<br />
Startet man den gleichen Kernel mit der<br />
Bootoption »sym53c8xx.settle=0«, ergibt<br />
sich der in Abbildung 5 dargestellt Boot<br />
Trace. Bis zum Mounten der Rootpartition<br />
benötigt das System dann nur noch<br />
etwa 900 Millisekunden.<br />
Über die detaillierte Auswertung der<br />
Boot-Tracer-Informationen hinaus schlagen<br />
die Kernelexperten eine Reihe weiterer<br />
Maßnahmen vor ([4], [5], [6], [7]).<br />
Einige empfehlen, den Konsolen-Output<br />
während des Bootens zu unterbinden.<br />
Auch diese Maßnahme lässt sich per<br />
Bootoption umsetzen (Schlüsselwort<br />
»quiet«). Außerdem sollte man Parameter,<br />
die der Kernel beim Booten jedes<br />
Mal aufs Neue bestimmt, vorgeben. Ein<br />
prominentes Beispiel ist das Kalibrieren<br />
der Delay-Loop. Der vom Kernel durch<br />
Messung ermittelte Wert taucht in den<br />
Syslog-Meldungen auf. Zum Abkürzen<br />
des Vorgangs übergibt ihn der Admin<br />
gleich als Bootoption »lpj=Wert«.<br />
Ein weiterer Tipp betrifft die Kernelkonfiguration<br />
selbst. Es versteht sich von<br />
selbst, dass ein schlanker Kernel schneller<br />
bootet als ein aufgeblasener. Konsequenterweise<br />
sollte man nur jene Komponenten<br />
einkompilieren, die Hardwaretechnisch<br />
verbaut beziehungsweise Software-technisch<br />
nötig sind. Das betrifft<br />
nicht nur Treiber, sondern insbesondere<br />
auch Netzwerkprotokolle, Dateisysteme<br />
und Debugoptionen. Eine weitere Technik<br />
wird als Deferred Loading bezeichnet.<br />
Funktionalitäten, die das System<br />
nicht direkt zum Start benötigt, lädt es<br />
erst nach dem Booten.<br />
Die Experten erwähnen als weitere Möglichkeit<br />
zur Zeitersparnis, die Anzahl der<br />
Pseudo-Terminals (PTY) zu reduzieren,<br />
was ebenfalls per Bootoption ohne Neukompilieren<br />
funktioniert. Ein zusätzlicher<br />
Tipp ist das Abschalten der zuweilen noch<br />
aktiven Autokonfiguration des Internetprotokolls<br />
im Kernel (»ip‐auto‐config«).<br />
Minimal-Bootstrap<br />
Damit nicht genug. Die Systemarchitekten<br />
von <strong>Linux</strong> hinterfragen zur Optimierung<br />
der Startzeit den ganzen Bootprozess. Dabei<br />
zeigt sich, dass beim Kalt-Boot auch<br />
der Bootloader zusammen mit dem Laden<br />
von Kernel und Root-Filesystem viel<br />
Zeit verschlingt. Die Embedded-Experten<br />
stellen zur Diskussion, den Kernel direkt<br />
mit einem einfachen Bootstrap in den<br />
Speicher zu laden und einen mit reichlicher<br />
Funktionalität versehenen Bootloader<br />
komplett wegzulassen. Dazu muss<br />
man die Bootoptionen allerdings fest in<br />
den Kernel integrieren. Das ist bei der<br />
Kernelkonfiguration über den Parameter<br />
»CONFIG_CMDLINE« möglich.<br />
Kern-Technik 09/2012<br />
Know-how<br />
www.linux-magazin.de<br />
77<br />
Boot Tracer im Einsatz<br />
Ein Reboot reicht aus, um den Boot Tracer unter<br />
Ubuntu 12.04 selbst auszuprobieren. Dazu<br />
ist es zunächst erforderlich, in das Bootmenü<br />
von Grub zu gelangen. Falls beim<br />
Reboot der Bootmanager Grub nicht<br />
selbstständig erscheint, lässt er sich<br />
durch Drücken der Umschalt-Taste<br />
aufrufen. Im Menü ermöglicht es<br />
die Taste [E], den aktuellen Eintrag<br />
zu editieren. Daraufhin erscheint<br />
der ausgewählte Eintrag im Detail<br />
(siehe Abbildung 3).<br />
Der Cursor gehört in die Zeile, die<br />
mit »linux« beginnt. Dort sind die<br />
beiden Kerneloptionen »initcall_debug<br />
printk.time=1« anzufügen. Dabei<br />
gibt es eine kleine Herausforderung:<br />
Zum Bootzeitpunkt ist das Tastaturlayout<br />
auf Amerikanisch eingestellt.<br />
Für den Unterstrich ist ein [?] zu<br />
tippen, für das Gleichheitszeichen ein [’]. Die<br />
Eingabe von [Strg]+[X] bootet den Kernel mit<br />
den neuen Optionen.<br />
Abbildung 3: Mit den geeigneten Kommandozeilen-Optionen gestartet protokolliert<br />
der Boot Tracer den Kernelboot.<br />
Nach dem Booten speichert man die Protokollinformationen<br />
in einer Datei. Das Skript »bootgraph.pl«<br />
bereitet deren Inhalt grafisch auf:<br />
dmesg >/tmp/boot.log<br />
cat /tmp/boot.log | U<br />
perl /usr/src/linux‐headers‐U<br />
3.2.0‐24‐generic/scripts/U<br />
bootgraph.pl > /tmp/boot.svg<br />
Je nach den installierten Kernel-<br />
Headerdateien sind die angegebenen<br />
Pfade eventuell noch anzupassen.<br />
Mit einem Bildbetrachter wie<br />
etwa »eog« lässt sich die erzeugte<br />
Grafik »/tmp/boot.svg« betrachten.<br />
Da sie sehr viele Informationen enthält,<br />
sind in der Standardansicht zunächst<br />
nur die großen Blöcke sichtbar,<br />
das Zoomen der interessanten<br />
Ausschnitte offenbart die Details.
smc_driver_init<br />
pci_sysfs_init<br />
pm_qos_power_init<br />
flow_cache_init_global<br />
mousedev_init<br />
amba_kmi_init<br />
init<br />
it<br />
init_mtd<br />
init_sd<br />
cfq_init<br />
bsg_init<br />
init_romfs_fs<br />
init_nfsd<br />
init_minix_fs<br />
init_cramfs_fs<br />
it f<br />
init_ext2_fs<br />
aio_setup<br />
inotify_user_setup<br />
dnotify_init<br />
fsnotify_mark_init<br />
i it<br />
dio_init<br />
fcntl_init<br />
kswapd_init<br />
0.89<br />
Know-how<br />
www.linux-magazin.de Kern-Technik 09/2012<br />
78<br />
Das Laden des Kernels und des Root-<br />
Dateisystems durch den Bootstrap lässt<br />
sich ebenfalls optimieren. Zu diesem<br />
Zweck kann der Admin den Transfer per<br />
DMA vornehmen oder auch mit LZO einen<br />
schnelleren Dekompressions-Algorithmus<br />
verwenden als standardmäßig<br />
vorgesehen.<br />
Der letzte Punkt, bevor die Optimierung<br />
für das Userland beginnt, betrifft die Konfektion<br />
des Root-Filesystems. Abhängig<br />
von der Größe der Rootpartition und<br />
des verwendeten Filesystems benötigt<br />
das Mount-Kommando unterschiedlich<br />
lange Zeit. Auch ein Read-only-Mounten<br />
kann Zeit einsparen. Bei der Auswahl<br />
eines kurz bootenden Filesystems kann<br />
der Benchmark unter [8] helfen.<br />
Schneller User<br />
Für die Analyse der letzten Bootphase,<br />
also das Hochfahren des Userland, haben<br />
die <strong>Linux</strong>-Entwickler das Werkzeug<br />
1,51...<br />
3,65<br />
3,41<br />
3,17<br />
2,94<br />
1,27<br />
1,04<br />
0,8<br />
0,56<br />
0,32<br />
sym2_init<br />
Datenbanken<br />
amba_clcdfb_init<br />
1_sd_probe_async<br />
»sym2_init()«<br />
Abbildung 4: In der Boot-Tracer-Grafik ist deutlich<br />
der lange blaue Bereich erkennbar, der für die lange<br />
Bootzeit verantwortlich ist.<br />
Bootchart geschaffen. Für Ubuntu gibt es<br />
ein vorgefertigtes Paket, das sich mit dem<br />
Kommando »apt‐get install bootchart« installieren<br />
lässt. Bereits nach dem nächsten<br />
Reboot stehen die Daten zur Verfügung<br />
und können analysiert werden.<br />
Da Ubuntu allerdings nach dem ersten<br />
Reboot noch eine Systemoptimierung<br />
vornimmt, ist es sinnvoll, frühestens die<br />
Daten des zweiten Reboots auszuwerten.<br />
Ist die Auswertung abgeschlossen,<br />
entfernt der Befehl »apt‐get remove bootchart«<br />
das Tool wieder.<br />
Kern von Bootchart ist ein Hintergrundprozess<br />
namens »collector«, der in kurzem<br />
Abstand, beispielsweise alle 40<br />
Millisekunden, die Taskliste, statistische<br />
Informationen über Tasks und Interrupts<br />
(»/proc/stat«) sowie statistische Informationen<br />
über den Disk-I/O (»/proc/diskstats«)<br />
protokolliert. Die gesammelten<br />
Informationen packt das Werkzeug in ein<br />
Archiv und legt es im Verzeichnis »/var/<br />
log/bootchart« ab.<br />
Es bereitet die Daten auch grafisch auf.<br />
Die Grafik (Abbildung 6) findet sich<br />
ebenfalls im Verzeichnis »/var/log/bootchart«<br />
und wartet auf die Analyse. Neben<br />
allgemeinen Informationen ist in Blau die<br />
CPU-Auslastung und in Rosa die Disk-<br />
Aktivität während des Bootvorgangs dargestellt.<br />
Stellen, an denen die CPU keine<br />
Aktivität zeigt, sind gute Kandidaten für<br />
eine Optimierung.<br />
Im weiteren Verlauf ist jede Task in der<br />
Grafik entlang der Zeitachse angeordnet.<br />
Dabei kennzeichnet Bootchart die<br />
Prozesszustände (aktiv, schlafend, Zombie)<br />
und Datentransfers. Abbildung 6<br />
zeigt einen kleinen Ausschnitt aus dem<br />
Bootchart, das den Boot eines aktuellen<br />
Ubuntu-Systems auf einem Netbook<br />
abbildet. Die Collector-Task ist ebenfalls<br />
aufgeführt. Dabei ist deutlich die regelmäßige<br />
Aktivität zu sehen und auch,<br />
dass der Collector, durch Init aktiviert,<br />
frühzeitig im Bootprozess startet.<br />
Eine für die Bootzeit-Optimierung wichtige<br />
Task ist die ebenfalls sichtbare und<br />
frühzeitig gestartet Task »ureadahead«<br />
[9]. Sie spart gut 30 Sekunden Bootzeit<br />
ein, indem sie vorausschauend möglichst<br />
viele Daten, die im weiteren Verlauf beim<br />
Hochfahren benötigt werden, in einem<br />
Rutsch in den Hauptspeicher transferiert.<br />
Welche Daten einzulesen sind, hat »ureadahead«<br />
bei einem früheren Bootvorgang<br />
0.86<br />
0.82<br />
durch Beobachtung der Plattenzugriffe<br />
gelernt. Dieses vorausschauende Lesen<br />
gibt es nicht nur für Ubuntu-Systeme,<br />
es steht auch im schlanken Universal-<br />
0,78<br />
Binary Busybox für Embedded <strong>Linux</strong> zur<br />
Verfügung.<br />
Als Alternative zu »ureadahead« wird<br />
auch ein Werkzeug namens »e4rat« gehandelt,<br />
das die zum Booten benötigten<br />
0,74<br />
Daten auf der Festplatte zusätzlich so<br />
umsortiert, dass sie in einer sinnvollen<br />
Reihenfolge hintereinanderliegen [10].<br />
0,7<br />
Tests anlässlich dieses Artikels konnten<br />
gegenüber »ureadahead« aber keine signifikanten<br />
Verbesserungen messen.<br />
0,67<br />
Langsame Automatik<br />
Für die Optimierung der Userland-Bootzeit<br />
schlagen die Experten einen ganzen<br />
Reigen<br />
0,63<br />
unterschiedlicher Maßnahmen<br />
vor. Zunächst sollte der Admin alle nicht<br />
benötigten Dienste entfernen und benötigte<br />
– falls möglich – nach dem eigentli-<br />
0,59<br />
0,55<br />
0,51<br />
0,48<br />
0,44<br />
0,4<br />
0,36<br />
0,32<br />
vfp_init<br />
packet_init<br />
cubictcp_register<br />
psmouse_init<br />
smc_driver_init<br />
sym2_init<br />
brd_init<br />
pty_init<br />
amba_clcdfb_init<br />
init_jffs2_fs<br />
init_nfs_fs<br />
1_sd_probe_async<br />
»sym2_init()«<br />
Abbildung 5: Mit der passenden Bootoption gestartet<br />
zeigt das <strong>Linux</strong>-System in der Boot-Tracer-<br />
Auswertung eine deutlich verkürzte Startzeit.
opensourcepress.de<br />
BÜCHER<br />
Neu<br />
Aug.<br />
2012<br />
ISBN 978-3-941841-41-3 mit DVD<br />
447 Seiten · brosch. · 44,90 [D]<br />
ISBN 978-3-941841-68-0 mit DVD<br />
ca. 180 Seiten · brosch. · 24,90 [D]<br />
Neuauflage<br />
Neuauflage<br />
Abbildung 6: Bootchart malt detailliert auf, welche Task zu welchen Zeitpunkten aktiv ist.<br />
chen Booten starten. Sehr viel Zeit spart,<br />
wer Gerätedateien nicht automatisch<br />
per Udev, sondern statisch anlegt. Erfolg<br />
versprechend ist es auch, auf den Init-<br />
Mechanismus zu verzichten und lieber<br />
die einzelnen Dienste mit einem eigenen<br />
Startup-Skript zu starten. Für ein<br />
Desktop-Ubuntu ist das sicherlich keine<br />
geeignete Maßnahme, für ein Embedded-<br />
System aber sehr wohl.<br />
Für dieses Umfeld sind auch die weiteren<br />
Tipps gedacht, nämlich optimierte<br />
C-Bibliotheken zu verwenden, Applikationen<br />
statisch zu linken und unnötige Informationen<br />
mittels »strip« zu entfernen.<br />
Wer noch mehr Zeit rauskitzeln möchte,<br />
prüft schließlich die Applikationen selbst<br />
und versucht per Profiling deren Laufzeitschwächen<br />
aufzudecken.<br />
Die im Internet abrufbaren Erfolgsmeldungen<br />
zeigen einheitlich, dass eine signifikante<br />
Reduktion der Bootzeit mit ein,<br />
zwei, vielleicht auch drei Tagen Arbeit zu<br />
erreichen ist. Danach mag immer noch<br />
Potenzial für weitere Verkürzungen bestehen,<br />
der Aufwand steigt aber unverhältnismäßig.<br />
(mhu) <br />
n<br />
Infos<br />
[1] Make <strong>Linux</strong> Software, „Super Fast Boot of<br />
Embedded <strong>Linux</strong>“: [http:// www. makelinux.<br />
com/ emb/ fastboot/ omap]<br />
[2] Grabserial: [http:// elinux. org/ Grabserial]<br />
[3] Quade, Kunst, „Kern-Technik“, Folge 62:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 05/12, S. 84<br />
[4] Michael Opdenacker, „Cheap <strong>Linux</strong> boot<br />
time reduction techniques“:<br />
[http:// free‐electrons. com/ pub/<br />
conferences/ 2011/ genivi/ boot‐time. pdf]<br />
[5] Chris Simmonds, „Reducing boot time in<br />
<strong>Linux</strong> devices“:<br />
[http:// www. embedded‐linux. co. uk/<br />
downloads/ WE‐2. 2Paper_Simmonds. pdf]<br />
[6] Embedded-<strong>Linux</strong>-Wiki, „Boot Time“:<br />
[http:// elinux. org/ Boot_Time]<br />
[7] Sanjeev Premi, „Optimize <strong>Linux</strong> Boot<br />
Time“: [http:// processors. wiki. ti. com/<br />
index. php/ Optimize_<strong>Linux</strong>_Boot_Time]<br />
[8] Free Electrons, „Flash Filesystem Benchmarks“:<br />
[http:// elinux. org/ Flash_Filesystem_Benchmarks]<br />
[9] Scott James Remnant (keybuk), „All about<br />
ureadahead“: [http:// ubuntuforums. org/<br />
showthread. php? t=1434502]<br />
[10] Lifehacker, „E4rat Seriously Cuts Down on<br />
<strong>Linux</strong> Boot Time With a Few Simple Commands“:<br />
[http:// lifehacker. com/ 5790311/<br />
e4rat‐cuts‐your‐linux‐pcs‐boot‐time‐in<br />
‐half‐with‐a‐few‐simple‐commands]<br />
Die Autoren<br />
Eva-Katharina Kunst, Journalistin, und Jürgen<br />
Quade, Professor an der Hochschule Niederrhein,<br />
sind seit den Anfängen von <strong>Linux</strong> Fans von Open<br />
Source. In der Zwischenzeit ist die dritte Auflage<br />
ihres Buches „<strong>Linux</strong> Treiber entwickeln“<br />
erschienen.<br />
ISBN 978-3-941841-81-9<br />
551 Seiten · brosch. · 39,90 [D]<br />
opensourceschool.de<br />
TRAINING<br />
ISBN 978-3-941841-25-3<br />
736 Seiten · brosch. · 49,90 [D]<br />
Programmierung<br />
23. – 24.08. Qt für Fortgeschrittene<br />
03. – 04.09. C++: STL und Boost<br />
03. – 05.09. SCJP/OCP Java 6 Programmer<br />
03. – 05.09. Python<br />
03. – 05.09. HTML5<br />
03. – 05.09. iPhone und iPad Entwicklung<br />
04. – 06.09. OpenLayers<br />
06. – 07.09. CSS3<br />
Webentwicklung<br />
12. – 14.09. JavaScript<br />
17. – 19.09. TYPO3 Extbase/Fluid Entwicklung<br />
Administration<br />
27. – 29.08. Administration von OTRS<br />
27. – 31.08. Virtualisierung mit Xen<br />
03. – 04.09. TCP/IP-Analyse mit Wireshark<br />
10. – 14.09. Vorbereitung auf LPIC-2<br />
10. – 14.09. Vorbereitung auf LPI 301<br />
weitere Themen und Termine:<br />
opensourceschool.de/kurstermine
Programmieren<br />
www.linux-magazin.de Java-Threads 09/2012<br />
82<br />
Thread-Programmierung mit Java<br />
Eingefädelt<br />
Seit der ersten Version von Java sind Threads ein fester Bestandteil der Sprache. Das macht vieles einfacher<br />
als in anderen Programmiersprachen. Neuere Versionen der Java-Bibliothek bieten darüber hinaus viele nützliche<br />
Klassen für Locking und Synchronisierung. Bernhard Bablok<br />
jedes neu geschaffene Objekt eine eindeutige<br />
ID aus einer globalen Sequenznummer.<br />
In diesem trivialen Beispiel ist<br />
natürlich die »getID()«-Methode nicht<br />
wirklich nötig, es würde reichen, wenn<br />
der Konstruktor synchronisiert wäre. Die<br />
»main()«-Methode ab Zeile 21 erzeugt 100<br />
Threads mit einer anonymen Runnable-<br />
Klasse. Wer das Verhalten ohne »synchronized«<br />
testen will, der entfernt dieses<br />
Schlüsselwort aus Zeile 9 und führt folgende<br />
Zeilen aus:<br />
© nena2112, photocase.com<br />
Als die erste Java-Version im Jahr 1995<br />
erschien, gab es kaum einen Desktop-<br />
Rechner mit mehr als einem Prozessor.<br />
Trotzdem war die Unterstützung von<br />
Threads von Anfang an ein fester Bestandteil<br />
der Sprache und für den zentralen<br />
Anwendungsfall notwendig. Der<br />
Hintergrund war, dass Java als Frontend<br />
für Serveranwendungen dienen und<br />
das Frontend nicht durch langsame Dateitransfers<br />
lahmgelegt werden sollte.<br />
Weitsicht<br />
Die weitere Entwicklung von Java ging<br />
dann zwar in eine andere Richtung – Java-<br />
Applets spielen kaum mehr eine Rolle –,<br />
doch von der Weitsicht der Sprachentwickler<br />
profitieren Java-Programmierer<br />
nach wie vor.<br />
Die Grundlage aller Threadprogramme<br />
sind das Interface »java.lang.Runnable«<br />
und die Klasse »java.lang.Thread«. Das<br />
Interface definiert als einzige Schnittstelle<br />
die »run()«-Methode. Eigene Thread s<br />
erweitern entweder »Thread« oder implementieren<br />
»Runnable« und starten<br />
den Thread mit der statischen Methode<br />
»Thread.start(Runnable r)«.<br />
Der gesicherte Zugriff auf gemeinsam genutzte<br />
Ressourcen gelingt mit Hilfe des<br />
»synchronized«-Schlüsselworts. Der Programmierer<br />
kann Synchronisierung auf<br />
drei Ebenen durchführen.<br />
Möglich sind<br />
die Synchronisierung<br />
der gesamten Klasse<br />
(etwa »public synchronized<br />
class Foo{...}«),<br />
einzelner Methoden<br />
(»public synchronized<br />
int getID() {...}« oder<br />
einzelner Code-Abschnitte.<br />
Die Beispielklasse in<br />
Listing 1 vergibt für<br />
javac ‐d . ObjectID.java<br />
java ‐classpath . ObjectID | sort | uniq ‐c<br />
Nicht bei jedem Lauf kommt es zu Problemen,<br />
je nach Geschwindigkeit des Rechners<br />
und der vorhandenen Prozessoren<br />
fällt es sogar schwer, zwei Objekte mit<br />
gleicher ID zu provozieren (Abbildung<br />
1). Dies ist übrigens einer der Gründe,<br />
warum Fehler in parallelen Programmen<br />
häufig schwer zu finden und zu korrigieren<br />
sind.<br />
Die Wahl der Synchronisationsebene<br />
wirkt sich auf die Effizienz der Programme<br />
aus. Je kleiner der Geltungsbereich<br />
des Lock ist, desto geringer die<br />
Auswirkungen auf andere, eventuell unbeteiligte<br />
Programmteile.<br />
Abbildung 1: Ohne »synchchronized« erzeugt Listing 1 gelegentlich zwei<br />
Objekte mit der gleichen ID, zu erkennen an der Zwei in der ersten Spalte.
Die Java-Sprachdesigner bewiesen zwar<br />
Weitsicht mit der Integration des Threadings.<br />
Ihnen ist jedoch beim ersten Wurf<br />
ein folgenschwerer Fehler unterlaufen.<br />
So enthält die Threadklasse mit »Thread.<br />
suspend()«, »Thread.resume()«, »Thread.<br />
stop()« und »Thread.destroy()« eine Reihe<br />
scheinbar sehr nützlicher Funktionen für<br />
das Threadmanagement. Dummerweise<br />
sind diese Methoden inhärent fehlerhaft<br />
und wurden schon in der Java-Version<br />
1.1 als »deprecated« erklärt. Die Dokumentation<br />
des JDK enthält dazu sogar ein<br />
eigenes Dokument, das die Problematik<br />
beschreibt [1].<br />
Die sichere Methode, einen Thread zu<br />
stoppen, besteht darin, eine Instanzvariable<br />
innerhalb des Thread zu ändern.<br />
Die »run()«-Methode muss diese Variable<br />
regelmäßig auf Änderungen überwachen.<br />
Alternativ ruft der Programmierer die Methode<br />
»Thread.interrupt()« auf. Threads,<br />
die auf Ein- oder Ausgaben warten, reagieren<br />
aber nicht darauf.<br />
Eine weitere Methode der Threadklasse,<br />
die je nach Implementierung anders tickt,<br />
ist »Thread.setPriority()«. Die Prioritätssteuerung<br />
hat nichts mit irgendwelchen<br />
Nice-Werten unter <strong>Linux</strong> zu tun, sondern<br />
dient allein dem internen Thread-<br />
Dispatcher der JVM. Ob und wie er die<br />
einzelnen Prioritäten behandelt, ist Implementationssache.<br />
Java befindet sich nach wie vor in ständiger<br />
Weiterentwicklung, die Sprache<br />
hat mit jeder Version weitere Features<br />
im Multithreading-Bereich gewonnen. In<br />
Version 1.2 kam zum Beispiel die Klasse<br />
»ThreadLocal« hinzu. Sie erlaubt Klassenvariablen,<br />
die unterschiedlich für jeden<br />
Thread sind.<br />
Collections<br />
Eine wichtige Erweiterung von Java 2<br />
war zudem das Collection-Framework.<br />
Collections sind nicht per se Thread-sicher,<br />
besitzen aber so genannte Fail-Fast-<br />
Iteratoren. Das bedeutet, dass Iteratoren<br />
sofort und sauber eine Exception werfen,<br />
wenn ein anderer Thread eine Collection<br />
verändert hat, während der Programmierer<br />
über die Collection iteriert. Braucht er<br />
tatsächlich eine komplett Thread-sichere<br />
Collection, dann liefern diese verschiedene<br />
Factory-Methoden wie etwa »List.<br />
synchronizedList()«.<br />
Abbildung 2: Es lohnt sich für den Java-Programmierer, die Javadoc zu den Concurrency-Klassen zu lesen.<br />
Mit den Thread-APIs von Java 1.2 hatte<br />
der Entwickler alles, was er für Multithreaded-Programme<br />
braucht. Trotzdem<br />
war das Programmieren eher mühselig,<br />
denn es handelte sich um Low-Level-<br />
APIs. Wichtige Fragen, die in jedem Programm<br />
immer wieder auftauchen, blieben<br />
unbeantwortet: Wie sollen Abbrüche<br />
behandelt werden? Muss das Programm<br />
für jede Aufgabe einen neuen Thread<br />
erzeugen? Wie verhindere ich, dass zu<br />
viele Threads das System lahmlegen? Wie<br />
synchronisieren sich mehrere Threads<br />
am sinnvollsten? Wie implementiere ich<br />
atomare Operationen?<br />
Concurrency-Framework<br />
Mit Java 5 (also JDK 1.5) hielt das Concurrency-Framework<br />
Einzug in die Java-<br />
Listing 1: Schlüsselwort »synchronized«<br />
01 import java.lang.*;<br />
02 import java.io.*;<br />
03 <br />
04 class ObjectID {<br />
05 private static int seq=0;<br />
06 <br />
07 private int id;<br />
08 <br />
09 private synchronized int getID() {<br />
10 return seq++;<br />
11 }<br />
12 <br />
13 public ObjectID() {<br />
14 id = getID();<br />
15 }<br />
16 <br />
17 public void print() {<br />
Bibliotheken. Dieses Framework gibt<br />
die Antworten auf die oben gestellten<br />
Fragen und bügelt so die verbliebenen<br />
Unzulänglichkeiten der Thread-APIs<br />
aus. Die folgenden Abschnitte führen<br />
in einige zentrale Klassen ein. Weil das<br />
Framework aber recht umfangreich ist,<br />
sollte der Entwickler unbedingt in der<br />
Java-Dokumentation im Package »java.<br />
util.concurrent« stöbern (Abbildung 2).<br />
Viele der Klassen sind dort mit eingängigen<br />
Codeschnipseln erläutert.<br />
Ressourcenkontrolle<br />
Seit Java 5 hat der Entwickler die verfügbaren<br />
Ressourcen viel besser im Griff.<br />
Threads sind zwar leichtgewichtiger als<br />
native Prozesse, trotzdem ist die ständige<br />
Neuerzeugung (kurzlaufender) Threads<br />
18 System.out.println("ID: " + id);<br />
19 }<br />
20 <br />
21 public static void main(String[] args) {<br />
22 for (int i=0; i
Programmieren<br />
www.linux-magazin.de Java-Threads 09/2012<br />
84<br />
Abbildung 3: Im4java, ein Wrapper für Imagemagick, kann mehrere Bilder auf den verfügbaren Prozessoren<br />
parallel bearbeiten.<br />
Listing 2: Im4java<br />
01 public class ProcessExecutor extends<br />
ThreadPoolExecutor {<br />
02 public ProcessExecutor(int pProcs) {<br />
03 // create superclass with pProcs threads<br />
04 super(pProcs,pProcs,60,TimeUnit.SECONDS,<br />
05 new LinkedBlockingQueue());<br />
06 prestartAllCoreThreads();<br />
07 }<br />
08 [...]<br />
09 }<br />
01 // load all files<br />
02 iImages = load();<br />
03 <br />
04 ProcessExecutor exec = new ProcessExecutor();<br />
05 for (String img:iImages) {<br />
06 ConvertCmd cmd = new ConvertCmd();<br />
07 ProcessTask pt = cmd.getProcessTask(...);<br />
08 exec.execute(pt);<br />
09 }<br />
10 exec.shutdown();<br />
Listing 3: »ThreadPoolExecutor()«<br />
in Aktion<br />
eine Verschwendung. Threadpools sorgen<br />
für die Wiederverwendung von Threads.<br />
Die Verwaltung übernehmen vorgefertigte<br />
Klassen wie »ThreadPoolExecutor«.<br />
Threads im Pool<br />
Im4java [2] beispielsweise, ein Projekt<br />
des Autors, nutzt eine Subklasse von<br />
»ThreadPoolExecutor«. Das Programm<br />
(Abbildung 3) ist ein Java-Wrapper um<br />
Imagemagick und kann mehrere Bilder<br />
auf den verfügbaren Prozessoren eines<br />
Systems parallel bearbeiten.<br />
Der Executor stellt dabei sicher, dass maximal<br />
die per »pProcs« angeforderte Anzahl<br />
an Threads parallel läuft. In Listing<br />
2 sorgt ein Timeout-Wert von 60 Sekunden<br />
dafür, dass sich untätige Threads<br />
im Threadpool nach einer Minute der<br />
Inaktivität automatisch beenden. Das<br />
letzte Argument für den Konstruktor des<br />
»ThreadPoolExecutor« ist eine Umsetzung<br />
der so genannten »BlockingQueue«.<br />
Dabei handelt es sich um ein Interface<br />
des Concurrency-Framework. Mit diesen<br />
Queues lassen sich die Arbeitsaufgaben<br />
verwalten. Neben Fifo-Queues und anderen<br />
existiert auch eine »PriorityBlocking-<br />
Queue«, die eine feingranulare Prioritätensteuerung<br />
bietet.<br />
Die Anwendung zeigt Listing 3. Für jedes<br />
Bild erstellt die Schleife in Zeile 7<br />
eine Task – »ProcessTask« ist eine Subklasse<br />
von »FutureTask« – und übergibt<br />
die Task an den Executor, der sie dann in<br />
die Queue einspeist und abarbeitet, sobald<br />
ein entsprechender Thread aus dem<br />
Pool frei ist. Nach der Schleife beendet<br />
das Programm den Executor in Zeile 10.<br />
Dieser Aufruf blockiert nicht. Das Programm<br />
könnte jetzt mit einem Aufruf von<br />
»exec.awaitTermination()« auf das Ende<br />
der Verarbeitung warten.<br />
Die im vorigen Absatz erwähnte »Future-<br />
Task« ist ebenfalls eine neue Klasse des<br />
Concurrency-Framework. Objekte dieser<br />
Klasse sind Runnables, die zusätzlich sowohl<br />
Zugriff auf das Ergebnis der asynchronen<br />
Berechnung bieten (Methode<br />
»get()«), also auch Lifecycle-Methoden<br />
wie »cancel()« oder »isDone()«. Die Get-<br />
Methode blockiert, falls die Berechnung<br />
noch nicht fertig ist.<br />
Locking und<br />
Synchronisation<br />
Parallele Codeteile einfach zu verwalten<br />
und auszuführen ist aber nur ein Teil der<br />
Aufgabe. Häufig müssen Threads Ergebnisse<br />
weiterreichen oder Informationen<br />
austauschen. Dabei kommen mehrere<br />
Arten von Lock- und Synchronisationsobjekten<br />
ins Spiel. Locking mittels »synchronized«<br />
ist dabei nur ein Spezialfall für ein<br />
Listing 4: Paralleler Zugriff mit Semaphoren<br />
01 import java.io.*;<br />
02 import java.util.concurrent.*;<br />
03 import java.util.concurrent.atomic.*;<br />
04 <br />
05 public class SemTest {<br />
06 private static Semaphore sem = new<br />
Semaphore(3,true);<br />
07 private static AtomicInteger counter = new<br />
AtomicInteger(0a);<br />
08 <br />
09 public void doCriticalWork() {<br />
10 try {<br />
11 sem.acquire();<br />
12 int currentCounter =<br />
counter.addAndGet(1);<br />
13 Thread.currentThread().sleep(100);<br />
14 System.out.println("current counter: "<br />
+ currentCounter);<br />
15 counter.addAndGet(‐1);<br />
16 sem.release();<br />
17 } catch (Exception e) {<br />
18 }<br />
19 }<br />
20 <br />
21 public static void main(String[] args) {<br />
22 for (int i=0; i
Threads berechnen Teilsummen<br />
»CyclicBarrier«<br />
»CyclicBarrier«<br />
simples Reentrant-Lock. Die Klasse »Semaphore«<br />
des Concurrency-Framework<br />
steuert den Zugriff auf Ressourcen. Je<br />
nach Initialisierung arbeitet ein Semaphor<br />
binär (ähnlich einem Mutex) oder erlaubt<br />
den Zugriff mehrfach. Da die Semaphor-<br />
Implementation von Java keinen Owner<br />
kennt, können auch fremde Threads die<br />
Ressourcen wieder freigeben.<br />
Details zu dieser Klasse gibt es wie üblich<br />
in der Javadoc. Das Beispiel in Listing 4<br />
simuliert einen kritischen Abschnitt, den<br />
maximal drei Threads parallel betreten<br />
dürfen. Der Code nutzt außerdem einen<br />
der mit dem Framework eingeführten<br />
atomaren Datentypen, die eine Implementierung<br />
von Zählern einfacher gestalten<br />
als in Listing 1.<br />
Objekte tauschen<br />
Aggregation der<br />
Teilsummen<br />
Aggregation der<br />
Teilsummen<br />
Abbildung 4: An einer »CyclicBarrier« warten die<br />
Threads, bis alle fertig sind. Das geschieht mehrmals,<br />
wobei jeder Durchgang die Teilergebnisse<br />
aggregiert.<br />
Java bietet aber noch mehr: Ein Objekt<br />
vom Typ »Exchanger« synchronisiert<br />
zwei Threads, die dabei Objekte tauschen.<br />
Anwendungsfälle sind alle Arten<br />
von Objekten, die ein Thread erstellt<br />
und ein zweiter Thread abarbeitet. Nun<br />
speichert der erste Thread die erzeugten<br />
Objekte in einem Puffer und übergibt den<br />
vollen Puffer mittels eines Exchangers an<br />
einen Verarbeitungsthread. Gleichzeitig<br />
bekommt er einen leeren Puffer zurück.<br />
Die Anwendung arbeitet also mit zwei<br />
Puffern und entkoppelt Erstellung und<br />
Verarbeitung.<br />
Ein anderer Typ von Synchronisationsobjekten<br />
ist »CyclicBarrier« (siehe Abbildung<br />
4). An einer Barriere wartet eine<br />
konfigurierbare Anzahl von Threads,<br />
bevor es weitergeht. Solche Objekte sind<br />
nützlich, wenn der Entwickler ein Problem<br />
in eine feste Anzahl von Teilen aufspalten<br />
kann und diese von jeweils einem<br />
Thread bearbeitet lässt.<br />
Läuft jeder Thread nur genau einmal,<br />
bedarf es natürlich keines Synchronisationsobjekts<br />
– hier wartet das Hauptprogramm<br />
nur, bis alle Threads fertig sind.<br />
Soll das Programm aber iterativ immer<br />
wieder Teilergebnisse aggregieren, dann<br />
erlaubt es »CyclicBarrier«, eine Lösung<br />
einfach umzusetzen.<br />
Countdown<br />
Etwas anders verhält sich »CountDown-<br />
Latch«. Hier warten Threads, bis ein Zähler<br />
auf Null steht. Ein Anwendungsfall<br />
dafür ist ein Hauptprogramm, das eine<br />
Reihe von Threads aufsetzt und startet,<br />
aber gleichzeitig verhindern will, dass<br />
sie schon loslaufen, bevor der Initialisierungsprozess<br />
fertig ist.<br />
Hierzu erzeugt das Hauptprogramm ein<br />
Objekt vom Typ »CountDownLatch«<br />
und initialisiert den Zähler mit Eins. Die<br />
Threads warten nach dem Start, bis der<br />
Zähler Null ist (Listing 5). Das Beispiel<br />
implementiert das Verfahren „Synchronisierung<br />
mit Bedingungsvariablen“<br />
(Abbildung 5) aus dem C++-Artikel<br />
im <strong>Linux</strong>-<strong>Magazin</strong> 08/12 [3]. Die Java-<br />
Umsetzung fällt jedoch deutlich kompakter<br />
aus, da die Sprache Klassen auf<br />
Der Autor<br />
Bernhard Bablok betreut bei der Allianz<br />
Managed &Operations Services SE ein großes<br />
Datawarehouse mit technischen Performance-<br />
Messdaten von Mainframes bis zu Servern. Wenn<br />
er nicht Musik hört, mit dem Radl oder zu Fuß<br />
unterwegs ist, beschäftigt er sich mit Themen<br />
rund um <strong>Linux</strong> und Objektorientierung.<br />
HPC meets Cloud -<br />
The International Conference<br />
on the Use of Cloud for High<br />
Performance Computing (HPC)<br />
Register Today!<br />
www.isc-events.com/cloud12<br />
Keynote:<br />
The Helix Nebula Initiative<br />
Bob Jones – CERN<br />
Rupert Lueck – EMBL<br />
Wolfgang Lengert – ESA<br />
Highlights:<br />
Industrial Cloud - Best Practices<br />
Research Cloud - User Experiences<br />
Engineering Clouds -<br />
Commercial Software in the Cloud<br />
Big Data Cloud Computing<br />
Panel: HPC Cloud Challenges<br />
Vendor Panel with Sponsors<br />
Interactive BoFs on Hot Topics of HPC<br />
Full Catering<br />
Get Together Networking Party
Programmieren<br />
www.linux-magazin.de Java-Threads 09/2012<br />
86<br />
Herb<br />
Scott<br />
Bjarne<br />
Andrei<br />
Andrew<br />
David<br />
Worker Boss<br />
Worker Boss<br />
Worker<br />
»prepared«<br />
»prepared«<br />
»prepared«<br />
»prepared«<br />
»prepared«<br />
»prepared«<br />
höherem Abstraktionsniveau bereitstellt.<br />
Im Gegensatz zur »CyclicBarrier« ist ein<br />
»CountDownLatch« nicht erneut verwendbar<br />
(siehe hierzu auch [4]).<br />
Gut einzufädeln<br />
»START<br />
YOUR WORK«<br />
Noch nie war die parallele Programmierung<br />
unter Java so einfach. Dank Concurrency-Framework<br />
existiert eine ganze<br />
»done«<br />
»done«<br />
»done«<br />
»done«<br />
»done«<br />
»done«<br />
»GO HOME«<br />
Abbildung 5: Mit Hilfe des »CountDownLatch« lässt sich folgender Arbeitsablauf abbilden: Die Arbeiter geben<br />
Bescheid, wenn sie bereit oder fertig sind, der Chef veranlasst den Arbeitsbeginn und den Feierabend.<br />
Reihe von High-Level-APIs, die die Umsetzung<br />
verschiedenster paralleler Algorithmen<br />
stark vereinfachen und damit<br />
sicherer machen.<br />
Die Entwicklung setzt sich weiter fort:<br />
Auch die Java-Versionen 6 und 7 haben<br />
neue Klassen bekommen, wenn auch<br />
die Veränderungen im Vergleich zu Java<br />
5 deutlich kleiner ausfallen. Wer in die<br />
parallele Programmierung unter Java<br />
einsteigen will, sollte sich unbedingt<br />
mit dem zugehörigen Java-Tutorial [5]<br />
beschäftigen. Es vermittelt einen schnellen<br />
Einstieg in die Gedankenwelt des<br />
Framework. (mhu) <br />
n<br />
Infos<br />
[1] Diskussion der Probleme von Thread-<br />
Methoden: [http:// docs. oracle. com/ javase/<br />
7/ docs/ technotes/ guides/ concurrency/<br />
threadPrimitiveDeprecation. html]<br />
[2] Im4java: [http:// im4java. sourceforge. net]<br />
[3] Rainer Grimm, „Im Gleichtakt“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 08/12, S. 88<br />
[4] „CountDownLatch vs. CyclicBarrier“:<br />
[http:// stackoverflow. com/ questions/<br />
4168772/ java‐concurrency‐countdown<br />
‐latch‐vs‐cyclic‐barrier]<br />
[5] Java-Tutorial über Concurrency:<br />
[http:// docs. oracle. com/ javase/ tutorial/<br />
essential/ concurrency/ index. html]<br />
[6] Listings zu diesem Artikel:<br />
[http:// www. linux‐magazin. de/ static/<br />
listings/ magazin/ 2012/ 09/ java‐threads]<br />
Listing 5: Synchronisierung mit »CountDownLatch«<br />
01 import java.lang.*;<br />
02 import java.io.*;<br />
03 java.util.concurrent.*;<br />
04 <br />
05 public class Boss {<br />
06 <br />
07 public static void main(String[] args) {<br />
08 try {<br />
09 CountDownLatch prepSignal = new CountDownLatch(6);<br />
10 CountDownLatch startSignal = new CountDownLatch(1);<br />
11 CountDownLatch endSignal = new CountDownLatch(6);<br />
12 <br />
13 System.out.println("\nBOSS: PREPARE YOUR WORK\n");<br />
14 new Thread(new Worker("Herb",prepSignal,startSignal,<br />
endSignal)).start();<br />
15 new Thread(new Worker("Scott",prepSignal,startSignal,<br />
endSignal)).start();<br />
16 new Thread(new Worker("Bjarne",prepSignal,startSignal,<br />
endSignal)).start();<br />
17 new Thread(new Worker("Andrei",prepSignal,startSignal,<br />
endSignal)).start();<br />
18 new Thread(new Worker("Andrew",prepSignal,startSignal,<br />
endSignal)).start();<br />
19 new Thread(new Worker("David",prepSignal,startSignal,<br />
endSignal)).start();<br />
20 prepSignal.await();<br />
21 <br />
22 System.out.println("\nBOSS: START YOUR WORK\n");<br />
23 startSignal.countDown();<br />
24 <br />
25 endSignal.await();<br />
26 System.out.println("\nBOSS: GO HOME\n");<br />
27 } catch (Exception e) {<br />
28 }<br />
29 }<br />
30 }<br />
31 <br />
32 class Worker implements Runnable {<br />
33 private String iName;<br />
34 private CountDownLatch iPrepSignal, iStartSignal, iEndSignal;<br />
35 <br />
36 Worker(String pName, CountDownLatch pPrepSignal,<br />
37 CountDownLatch pStartSignal, CountDownLatch pEndSignal) {<br />
38 iName = pName;<br />
39 iPrepSignal = pPrepSignal;<br />
40 iStartSignal = pStartSignal;<br />
41 iEndSignal = pEndSignal;<br />
42 }<br />
43 <br />
44 public void run() {<br />
45 try {<br />
46 long prepareTime = 500 + (long) (1500*Math.random());<br />
47 Thread.currentThread().sleep(prepareTime);<br />
48 System.out.println(iName + " work prepared after " +<br />
49 prepareTime + " milliseconds");<br />
50 iPrepSignal.countDown();<br />
51 iStartSignal.await();<br />
52 long workTime = 200 + (long) (200*Math.random());<br />
53 Thread.currentThread().sleep(workTime);<br />
54 System.out.println(iName + " work done after " +<br />
55 workTime + " milliseconds");<br />
56 iEndSignal.countDown();<br />
57 } catch (InterruptedException ex) {<br />
58 }<br />
59 }<br />
60 }
Admin-MAGAZIN<br />
im Jahres-Abo<br />
Jede Ausgabe des Admin-<strong>Magazin</strong>s bietet praktisch anwendbares Wissen<br />
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle<br />
Systemverwalter von <strong>Linux</strong>, Unix und Windows. Die Schwerpunkte reichen von<br />
Storage und Backup bis hin zu Netzwerk-Themen und Security.<br />
Ein Sonderteil hilft Admins heterogener Welten.<br />
15 % sparen<br />
Jetzt bestellen unter:<br />
www.admin-magazin.de/abo<br />
sichern Sie Sich Ihr<br />
gratis ADMIN T-Shirt!<br />
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de<br />
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-<strong>Magazin</strong>s zum Vorzugspreis von E 49,90 * statt E 58,80 *<br />
(Lieferung frei Haus).<br />
* Preise gelten für Deutschland. Schweiz: SFr 82,32; Österreich: E 54,90; anderes Europa: E 59,90
Programmieren<br />
www.linux-magazin.de Three.js 09/2012<br />
88<br />
3-D-Szenen im Browser mit Three.js<br />
Ausblick in 3-D<br />
Mit HTML 5 kommt 3-D-Unterstützung in den Browser. Dank Web GL stellen Firefox, Chrome & Co. dreidimensionale<br />
Welten ohne spezielle Plugins oder Viewer dar. Zusätzlich macht die Javascript-Bibliothek Three.js dem<br />
Programmierer die Arbeit leicht. Johannes Raida, Carsten Zerbst<br />
sie sich in der Konfigurationsdatei »/usr/<br />
share/applications/google‐chrome.desktop«<br />
mit der folgen Zeile erzwingen:<br />
Exec=/opt/google/chrome/google‐chromeU<br />
‐‐enable‐webgl ‐ignore‐gpu‐blacklist %U<br />
© view7, photocase.com<br />
Unter dem Schlagwort HTML 5 zieht ein<br />
ganzes Bündel neuer Technologien in die<br />
Browser auf Desktoprechnern und Mobilgeräten<br />
ein [1]. Darunter befindet sich<br />
eine, die die Tür zur 3-D-Welt aufstößt:<br />
Web GL. Die Web Graphics Library [2]<br />
ist eine Javascript-Schnittstelle für die<br />
3-D-Bibliothek Open GL. Damit können<br />
normale HTML-Seiten dreidimensionale<br />
Anteile enthalten, die Hardware-beschleunigt<br />
auf der Grafikkarte laufen.<br />
Web GL ist in den Desktop-Browsern<br />
Mozilla Firefox (ab Version 4), Opera (ab<br />
Version 12) und Google Chrome (ab Version<br />
9) umgesetzt. Da die Khronos Group<br />
als Basis Open GL für Embedded-Systeme<br />
(Open GL ES) nutzt, lässt es sich auch<br />
unter Android mit Firefox for Mobile und<br />
Opera Mobile nutzen.<br />
Die Idee, 3-D-Anwendungen ins Web zu<br />
bringen, ist zwar nicht neu, doch alle bisherigen<br />
Anläufe wie VRML, Java-Applets<br />
mit Java-3-D/Jogl oder 3-D-Flash erreichten<br />
wegen der erforderlichen Installation<br />
von speziellen Viewern, Java-Bibliotheken<br />
oder der geringen Performance nur<br />
ein begrenztes Publikum. Dank der breiten<br />
Web-GL-Unterstützung in den Browsern<br />
darf der Entwickler nun erstmals<br />
eine große Nutzerschar erwarten.<br />
Hardware-Unterstützung<br />
Der Stand auf dem eigenen Rechner lässt<br />
sich am einfachsten mit der Testseite [3]<br />
des Web-GL-Konsortiums ermitteln. Zeigt<br />
sie bei Firefox keine Unterstützung an,<br />
empfiehlt es sich, die Einstellungen unter<br />
»about:config« mit Abbildung 1 zu vergleichen.<br />
Chrome ist bei den Grafikkarten<br />
etwas wählerisch. Falls die Web-GL-Unterstützung<br />
dort nicht sofort klappt, lässt<br />
Details zur Grafikkarte zeigt Chrome unter<br />
der URL »chrome://gpu«.<br />
Programmieren mit Open GL war nie ein<br />
Spaziergang, auch Web GL zeigt keinen<br />
großen Unterschied. Mit Javascript fällt<br />
anders als bei C oder Java zwar das Kompilieren<br />
weg, dennoch ist mit dieser Lowlevel-Bibliothek<br />
eine ganze Menge Code<br />
für das erste Erfolgserlebnis zu schreiben.<br />
Abhilfe schafft eine darüberliegende<br />
Bibliothek, die Standardaufgaben wie<br />
das Erstellen von Basisgeometrien oder<br />
das Laden von Modellen oder Texturen<br />
kapselt. Dieses Extra an Benutzerfreundlichkeit<br />
bietet die Javascript-Bibliothek<br />
Three.js [4].<br />
Sie stammt von einem spanischen Programmierer,<br />
der sich „Mr. Doob“ nennt,<br />
und steht unter MIT-Lizenz. Einen Überblick<br />
über die Möglichkeiten von Three.<br />
js bietet die umfangreiche Demoseite auf<br />
der Projekthomepage: vom einfachen<br />
Würfel über komplexe 3-D-Szenen bis<br />
hin zu Vertex- und Fragment-Shadern.<br />
Weitere Beispiele finden sich im Blog von<br />
Jerome Etienne [5] und auf der Seite<br />
„Learning Web GL“ [6]. Diese Beispiele<br />
lassen die oft gehörten Bedenken über die<br />
Leistungsfähigkeit vergessen. Javascript<br />
kann es als Sprache zwar nicht mit der<br />
Performance von C++- oder Java aufnehmen,<br />
doch sobald die Daten in den<br />
Open-GL-Stack geladen sind, spielt das<br />
kaum mehr eine Rolle.<br />
Web GL kommt auch noch nicht an die<br />
Leistung von jahrzehntelang gepflegten<br />
C++- [7] oder Java-Anwendungen [8]
Abbildung 1: Die Web-GL-Einstellungen finden sich beim Browser Firefox<br />
heran, doch Welten<br />
mit mehreren Hunderttausend<br />
Polygonen<br />
lassen sich sinnvoll<br />
nutzen und laufen dafür<br />
ohne jede Installation<br />
plattformübergreifend<br />
ab. Egal wie aufwändig<br />
die Szenen<br />
sind, alle Three.js-Programme<br />
durchlaufen<br />
dabei die gleichen unter »about:config«.<br />
Schritte:<br />
n Laden der Javascript-Bibliotheken<br />
n Erzeugen der Zeichenfläche<br />
n Erzeugen der Three.js-Szene<br />
n Starten der Eventloops<br />
Ein einfaches Beispiel für diesen Ablauf<br />
ist in Listing 1 zu sehen, das die Webseite<br />
in Abbildung 2 erzeugt. Das Beispiel<br />
verwendet die Three.js-Hauptbibliothek<br />
sowie die Hilfsklasse »Detector.js«. Die<br />
HTML-Seite bindet die Bibliotheken mit<br />
dem »script«-Tag im Header ein. Die<br />
Zeilen 16 und 17 verwenden dazu eine<br />
absolute URL, auf dem eigenen Server<br />
verfügbare Bibliotheken lassen sich auch<br />
über einen relativen Pfad wie »js/Three.<br />
js« laden. Die von Three.js gezeichnete<br />
Fläche ist anders als bei Plugins und Applets<br />
kein Fremdkörper in der Webseite,<br />
der Browser behandelt sie als Teil des<br />
normalen HTML.<br />
Im Beispiel dient ein einfaches »div«-<br />
Element mit der ID »ThreeJSCanvas« als<br />
Malfläche. Der Entwickler kann dessen<br />
Position, Größe, Hintergrundfarbe und<br />
vieles mehr über Cascading Style Sheets<br />
(CSS) definieren. Im Beispiel sind unterschiedliche<br />
Hintergrundfarben für den<br />
2-D- (Weiß) und 3-D-Teil (Grau) angegeben,<br />
ebenso wäre ein gemeinsames Hintergrundbild<br />
möglich.<br />
Die eigentliche Implementierung des<br />
Beispiels findet im Javascript-Block ab<br />
Zeile 25 statt. Er ruft nacheinander die<br />
Funktionen zum Initialisieren der Szene<br />
Abbildung 2: Die Webseite aus Listing 1 erstellt eine einfache 3-D-Szene.
Programmieren<br />
www.linux-magazin.de Three.js 09/2012<br />
90<br />
Nicht mehr dargestellt,<br />
da hinter Far-Plane<br />
Camera.far<br />
und zum Starten der Eventloop auf. Die<br />
»init«-Funktion nutzt zuerst die Hilfsbibliothek<br />
»Detector.js«. Diese prüft, ob der<br />
Browser Web GL unterstützt, und zeigt<br />
dies über das Attribut »webgl« an. Falls<br />
dies zutrifft, kann das Skript den Hardware-beschleunigten<br />
Web-GL-Renderer<br />
verwenden, ansonsten erzeugt es den<br />
»CanvasRenderer«. Der funktioniert auch<br />
auf Browsern ohne Web GL, bietet aber<br />
deutlich weniger Features.<br />
Camera.fov<br />
Camera.lookAt<br />
Camera.near<br />
Camera.position<br />
Abbildung 3: Das Frustum bestimmt den Blick in die 3-D-Welt. Three.js bildet die Eigenschaften der Sichtpyramide<br />
in Javascript-Variablen ab.<br />
Als Nächstes ist es erforderlich, den Renderer<br />
mit dem HTML-Element zu verbinden.<br />
Zeile 51 fragt dazu das »div«-Element<br />
anhand der ID aus dem DOM (Document<br />
Object Model) ab. Die folgenden Zeilen<br />
ermitteln die Größe des Elements und<br />
übergeben sie dem Renderer. In Zeile 60<br />
fügt das Skript das DOM-Element des<br />
Renderers ins »div«-Element ein.<br />
Damit ist der 3-D-Teil in die HTML-Seite<br />
eingebettet. Jetzt geht es an die Definition<br />
der 3-D-Szene. Sie ist durch ein »THREE.<br />
Scene«-Objekt repräsentiert, das als Vaterknoten<br />
für die darzustellende Geometrie<br />
sowie Kamera und Lichter dient.<br />
Kamera läuft<br />
Der Beispielcode behandelt zuerst die<br />
Kamera (ab Zeile 67). Three.js bietet drei<br />
Kameraklassen: eine mit perspektivischer<br />
Projektion (»PerspectiveCamera«), eine<br />
mit orthogonaler (»OrthographicCamera«)<br />
sowie eine, die zwischen beiden Projektionen<br />
umschalten kann (»Combined‐<br />
Camera«). Beim Erzeugen der Kamera<br />
gibt der Programmierer den Blickwinkel<br />
(»fov«), das Seitenverhältnis sowie die<br />
minimale (»near«) und maximale Distanz<br />
(»far«) zur Geometrie an. Damit definiert<br />
er das Frustum, also den pyramidenförmigen<br />
Sichtbereich in die Szene, dessen<br />
Inhalt der Browser rendert. Abbildung<br />
3 zeigt das Frustum mit den jeweiligen<br />
Three.js-Parametern. Das Beispiel in [9]<br />
demonstriert einige dieser Werte.<br />
Listing 1: Ein einfaches Beispiel (I)<br />
001 <br />
002 <br />
003 <br />
004 Three.js Beispiel<br />
005 <br />
006 body {<br />
007 background‐color: #ffffff;<br />
008 }<br />
009 <br />
010 #ThreeJSCanvas {<br />
011 background: #ababab;<br />
012 width: 800px;<br />
013 height: 600px;<br />
014 }<br />
015 <br />
016 <br />
017 <br />
018 <br />
019 <br />
020 WebGL Beispiel<br />
021 Lorem ipsum dolor sit amet, consetetur ...<br />
022 <br />
023 <br />
024 <br />
025 <br />
026 var renderer;<br />
027 var scene;<br />
028 var camera;<br />
029 var cameraControl;<br />
030 var cubusMesh;<br />
031 <br />
032 // Initialisiere die Szene<br />
033 init();<br />
034 <br />
035 // Animiere die Szene<br />
036 animate();<br />
037 <br />
038 function init(){<br />
039 console.log("init");<br />
040 <br />
041 // Wenn WebGL vom Browser unterstützt wird, nutze den<br />
042 // hardwarebeschleunigten WebGL‐Renderer, ansonsten den<br />
043 // normalen CanvasRenderer<br />
044 if(Detector.webgl){<br />
045 renderer = new THREE.WebGLRenderer({antialias:true});<br />
046 } else {<br />
047 renderer = new THREE.CanvasRenderer();<br />
048 }<br />
049 <br />
050 // Hole das definierte DIV‐Element anhand seiner ID<br />
051 var divElement = document.getElementById('ThreeJSCanvas<br />
');<br />
052 <br />
053 // Renderer auf Groesse des DIV‐Elementes setzen<br />
054 var canvasWidth = divElement.offsetWidth;<br />
055 var canvasHeight = divElement.offsetHeight;<br />
056 <br />
057 renderer.setSize(canvasWidth, canvasHeight);<br />
058 <br />
059 // und an das DIV‐Element anhängen<br />
060 divElement.appendChild(renderer.domElement);<br />
061
In vielen Fällen soll der Anwender die<br />
Kameraposition und ‐blickrichtung steuern<br />
können. Three.js bietet dafür fertige<br />
Lösungen, zum Beispiel das in Zeile 73<br />
definierte »TrackballControls()«. Diese<br />
Steuerung zeigt das allgemein übliche<br />
Verhalten: Drehen der Kamera bei gedrückter<br />
linker Maustaste, Zoomen bei<br />
gedrückter mittlerer, Verschieben bei<br />
gedrückter rechter Maustaste. Weitere<br />
Controls wie das »FirstPersonControl()«<br />
(Durchwandern der Szene wie in einem<br />
Shooter) sind verfügbar oder lassen sich<br />
programmieren.<br />
Eine Kamera kann im Dunkeln wenig<br />
ausrichten, deshalb definiert der Code<br />
ab Zeile 76 eine Lichtquelle und weist ihr<br />
eine Position zu. Sie strahlt weißes Licht<br />
(»0xffffff«) mit voller Intensität (»1.0«)<br />
aus. Im Beispiel ist das Licht fest in der<br />
Szene positioniert.<br />
Nun fehlt noch die 3-D-Welt selbst.<br />
Listing 1 erzeugt mittels Javascript ab<br />
Zeile 81 eine Ebene und ab Zeile 88 einen<br />
Kubus. Für jeden Körper definiert<br />
Abbildung 4: Komplexe Modelle inklusive Schatten stehen ohne Plugin im<br />
der Code zuerst die<br />
Geometrie und erzeugt<br />
dann zusammen<br />
mit einem Material<br />
(»Mesh«) die Oberfläche.<br />
Das Mesh wird<br />
ähnlich wie zuvor die<br />
Kamera positioniert<br />
und in die Szene eingehängt.<br />
Das Material entscheidet<br />
über das Aussehen<br />
des Körpers: Neben<br />
einfachen Farben kann<br />
der Entwickler auch<br />
Texturen oder Shader<br />
für die Oberflächen Browser bereit.<br />
nutzen. Damit ist die<br />
Definition der 3-D-Welt abgeschlossen<br />
und die Eventloop kann starten.<br />
Innerhalb der Eventloop bearbeitet der<br />
Code in regelmäßigen Intervallen Nutzereingaben<br />
oder animiert die Szene, bevor<br />
ein neues Bild aus der 3-D-Szene gerendert<br />
wird. Dafür ist im Beispiel die Funktion<br />
»animate()« zuständig, die das erste<br />
Mal in Zeile 36 nach der Definition der<br />
Szene zum Zuge kommt. Damit aus dem<br />
einmaligen Aufruf eine echte Eventloop<br />
wird, kommt die Funktion »requestAnimationFrame();«<br />
zum Einsatz. Sie wird<br />
vom Browser verwaltet und sorgt für den<br />
Three.js 09/2012<br />
Programmieren<br />
www.linux-magazin.de<br />
91<br />
Listing 1: Ein einfaches Beispiel (II)<br />
062 // Erzeuge die Szene in die alle Objekte eingefügt<br />
werden<br />
063 scene = new THREE.Scene();<br />
064 <br />
065 // Erzeuge die Kamera, positioniere sie<br />
066 // und richte auf Ursprung ein<br />
067 camera = new THREE.PerspectiveCamera(50,<br />
canvasWidth / canvasHeight, 1, 10000);<br />
068 camera.position.set(3, 4, 5);<br />
069 camera.lookAt( new THREE.Vector3( 0, 0,0));<br />
070 scene.add(camera);<br />
071 <br />
072 // Steuerung der Kamera mit der Maus<br />
073 cameraControl = new THREE.TrackballControls(camera,<br />
renderer.domElement);<br />
074 <br />
075 // Eine Lichtquelle definieren und einfügen<br />
076 var directionalLight = new THREE.<br />
DirectionalLight(0xffffff, 1.0);<br />
077 directionalLight.position = new THREE.Vector3(<br />
20,20,20);<br />
078 scene.add(directionalLight);<br />
079 <br />
080 // Eine 5X5 große Ebene<br />
081 var planeGeo = new THREE.PlaneGeometry(5, 5, 20,<br />
20);<br />
082 var planeMat = new THREE.MeshLambertMaterial(<br />
{color: 0xef0000});<br />
083 var mesh = new THREE.Mesh(planeGeo, planeMat);<br />
084 mesh.doubleSided = true<br />
085 scene.add(mesh);<br />
086 <br />
087 // Ein Kubus<br />
088 var cubusGeo = new THREE.CubeGeometry( 1, 2, 4,<br />
1,2,4); //new Three.new THREE.TorusGeometry( 1, 0.42 );<br />
089 var cubusMat = new THREE.MeshLambertMaterial(<br />
{ color: 0x00ef00 } );<br />
090 cubusMesh = new THREE.Mesh( cubusGeo, cubusMat );<br />
091 cubusMesh.position = new THREE.Vector3( 0, 1.01,<br />
0);<br />
092 <br />
093 scene.add( cubusMesh );<br />
094 <br />
095 <br />
096 }<br />
097 <br />
098 function animate(){<br />
099 <br />
100 // Drehen des Kubus<br />
101 cubusMesh.rotation.y = 1e‐4* new Date().getTime();<br />
102 // Drehen der Kamera entsprechend Nutzereingaben<br />
103 cameraControl.update();<br />
104 <br />
105 // Darstellen der Szene<br />
106 renderer.render(scene, camera);<br />
107 <br />
108 // Nächstes Rendern nur wenn nötig<br />
109 requestAnimationFrame(animate);<br />
110 }<br />
111 <br />
112 <br />
113 <br />
114
Programmieren<br />
www.linux-magazin.de Three.js 09/2012<br />
92<br />
Abbildung 5: Die Visualisierung der Daten zur Bevölkerungsverteilung kombiniert<br />
2-D- und 3-D-Anteile.<br />
regelmäßigen Aufruf der »animate()«-<br />
Funktion. Dabei unterbricht sie auch die<br />
Eventloop, etwa wenn das Fenster gerade<br />
nicht sichtbar ist, und spart dadurch Systemressourcen.<br />
Zuvor rotiert Listing 1 jedoch den Kubus<br />
um seine y-Achse und aktualisiert<br />
die Kameraposition entsprechend den<br />
Nutzer eingaben. Auch wenn sie auf den<br />
ersten Blick ähnlich erscheinen, handelt<br />
es sich dabei um zwei unterschiedliche<br />
Bewegungen: Die eine dreht einen Körper<br />
in der Szene, die andere den Blick auf die<br />
Szene. Nachdem die 3-D-Szene entsprechend<br />
aktualisiert ist, ruft Zeile 106 den<br />
Renderer auf, um sie in einer 2-D-Ansicht<br />
abzubilden.<br />
Nur Ebenen und Kuben, das wäre ein<br />
wenig langweilig – für das Erzeugen der<br />
3-D-Szenen stellt Three.js weitere Möglichkeiten<br />
bereit. Es kann Geometrieprimi<br />
tive (Dreiecke, Kuben, Zylindern,<br />
Kugeln, Linien) erzeugen sowie Flächen<br />
zu Volumenkörpern extrudieren. Daneben<br />
lädt die Bibliothek extern definierte<br />
01 var loader = new THREE.JSONLoader();<br />
02 loader.load("mini.json", function(geometry){<br />
03 var material = new THREE.MeshLambertMaterial(<br />
04 <br />
{ color: 0x00efef } );<br />
05 mesh = new THREE.Mesh(geometry, material);<br />
06 <br />
07 mesh.doubleSided = true;<br />
08 THREE.GeometryUtils.center(geometry);<br />
09 scene.add(mesh);<br />
Listing 2: Json-Daten laden<br />
10 });<br />
Geometrien und lässt<br />
Vertex-Shader auf der<br />
Grafikkarte berechnen.<br />
Gerade das Laden<br />
externer Geometrien<br />
macht Three.js für<br />
viele Anwendungsfälle<br />
attraktiv, denn es<br />
erlaubt das Einbinden<br />
leistungsfähiger Modellierwerkzeuge<br />
wie<br />
Blender oder eines<br />
CAD-Systems.<br />
Abhängig vom Format<br />
führt der Weg dabei<br />
entweder über einen<br />
Three.js-Loader für<br />
Fremdformate wie<br />
Object Wavefront, Collada<br />
und VTK oder über einen Konverter,<br />
der Dateien in das Json-Format von<br />
Three.js übersetzt. Dabei handelt es sich<br />
um eine Ascii-Datei, in der die Punkte,<br />
Flächen, Normalen und Farben definiert<br />
sind. Selbst animierte Modelle wie beispielsweise<br />
laufende Personen lassen<br />
sich in solchen Dateien ablegen.<br />
Geometrie-Import<br />
Im Quelltext von Three.js finden sich unter<br />
»utils/exporters« sowohl Konverter für<br />
die Kommandozeile als auch Plugins für<br />
Blender und 3DS Max. Weitere Konverter<br />
lassen sich relativ schnell programmieren:<br />
Das Motorrad in Abbildung 4 haben die<br />
Autoren mit einem selbst geschriebenen<br />
Konverter aus dem in der CAD-Welt verbreiteten<br />
JT-Format nach Json exportiert.<br />
Das Laden der Json-Dateien ist in Listing<br />
2 zu sehen. Die Funktion »load()« nimmt<br />
sowohl die URL der Json-Datei als auch<br />
eine Callback-Funktion für die weitere<br />
Behandlung nach dem Laden entgegen.<br />
Diese Funktion definiert ähnlich wie die<br />
manuell erstellte Geometrie aus Listing 1<br />
das Material, erzeugt ein Mesh und fügt<br />
es der Szene hinzu.<br />
Über das Mesh-Attribut »doubleSided«<br />
kann man das so genannte Backface Culling<br />
deaktivieren, sodass beide Seiten der<br />
Fläche dargestellt werden. Ohne diesen<br />
Parameter würde nur jene Seite gerendert,<br />
deren Normalenvektor zur Kamera<br />
schaut. Sind die Normalenvektoren nicht<br />
einheitlich, können dabei Löcher in der<br />
Oberfläche entstehen. Die »Geometry‐<br />
Utils« verschieben die Geometrie in den<br />
Koordinatenursprung, ansonsten wird<br />
sie in der Originalposition positioniert<br />
und ist eventuell nach dem Laden nicht<br />
sichtbar.<br />
Beim Laden externer Geometrie greifen<br />
die normalen Sicherheitsmechanismen<br />
der Browser. Chrome etwa lässt es nur<br />
zu, wenn die HTML-Seite und Json-Daten<br />
vom selben Server kommen. Das Laden<br />
direkt von der lokalen Festplatte ist nur<br />
möglich, wenn Chrome mit der Option<br />
»‐disable‐web‐security« startet.<br />
Dieser Artikel hat die Möglichkeiten<br />
des vielseitigen Three.js gerade mal angekratzt:<br />
Neben explizit erzeugter oder<br />
geladener Geometrie unterstützt die Bi‐<br />
Infos<br />
[1] Peter Kreußel, „Fünf am Start“:<br />
<strong>Linux</strong>-<strong>Magazin</strong> 10/10. S. 94<br />
[2] Web GL: [http:// www. khronos. org/ webgl/]<br />
[3] Web-GL-Test: [http:// get. webgl. org]<br />
[4] Three.js:<br />
[https:// github. com/ mrdoob/ three. js/]<br />
[5] „Learning Three.js“:<br />
[http:// learningthreejs. com]<br />
[6] „Learning Web GL“:<br />
[http:// learningwebgl. com/ blog/]<br />
[7] Open Scene Graph:<br />
[http:// www. openscenegraph. org]<br />
[8] Jmonkey Engine:<br />
[http:// jmonkeyengine. com]<br />
[9] Frustum: [http:// mrdoob. github. com/<br />
three. js/ examples/ webgl_camera. html]<br />
[10] Shader-Tutorial:<br />
[http:// aerotwist. com/ tutorials/<br />
an‐introduction‐to‐shaders‐part‐1/]<br />
[11] Visualisierung der Bevölkerungsentwicklung:<br />
[http:// data‐arts. appspot. com/ globe]<br />
[12] Zombies versus Cow:<br />
[http:// yagiz. me/ zombiesvscow/]<br />
[13] Physisjs:<br />
[http:// chandlerprall. github. com/ Physijs/]<br />
[14] CSG: [http:// evanw.github. com/ csg. js/]<br />
[15] Dat-gui:<br />
[http:// code. google. com/ p/ dat‐gui/]<br />
[16] Web-GL-Inspector: [http:// benvanik.<br />
github. com/ WebGL‐Inspector/]<br />
[17] Threenodes.js:<br />
[http:// idflood. github. com/ ThreeNodes. js]<br />
[18] CADoculus: [http:// www. cadoculus. de]<br />
[19] Listings zu diesem Artikel:<br />
[http:// www. linux‐magazin. de/ static/<br />
listings/ magazin/ 2012/ 09/ three. js/]
Abbildung 6: Auch Spiele wie „Zombie versus Cow“ verwenden Three.js.<br />
bliothek auch Visualisierungstechniken<br />
wie Sprites und bietet ein Partikelsystem.<br />
Darüber hinaus lassen sich Geometrie<br />
und Farben mit Vertex- und Fragment-<br />
Shadern bis ins letzte Detail gestalten<br />
[10]. Anwendungen wie Datenvisualisierungen<br />
[11] oder das Spiel „Zombie<br />
versus Cow“ [12] demonstrieren, was<br />
möglich ist (Abbildungen<br />
5 und 6).<br />
Bei der Umsetzung<br />
von Web GL in den<br />
Browsern, der Weiter<br />
entwicklung von<br />
Three.js selbst und<br />
auch in der Konverter-Welt<br />
wird sich in<br />
nächster Zeit noch einiges<br />
tun. Bei Spielen<br />
etwa durch Physik-Engines<br />
wie Physijs [13],<br />
in der CAD-Welt durch<br />
die CSG-Bibliotheken<br />
(Constructive Solid<br />
Geometry, Verknüpfung von Grundkörper<br />
über boolesche Operationen, [14]).<br />
Bei der Entwicklung helfen die üblichen<br />
Javascript-Werkzeuge wie »dat‐gui« [15]<br />
oder die Konsolen in Firefox und Chrome.<br />
Der Web-GL-Inspector [16] kann tief in<br />
den Open-GL-Stack blicken. Alternativ<br />
lässt sich mit Threenodes.js aber<br />
auch [17] die komplette 3-D-Szene per<br />
Drag & Drop definieren.<br />
Bereits jetzt ist der Einstieg in die 3-D-<br />
Programmierung mit Three.js so einfach<br />
wie mit kaum einer anderen Technik.<br />
Die Verbreitung von Web-GL-fähigen<br />
Browsern sowohl auf dem Desktop wie<br />
auch auf mobilen Geräten ist schon jetzt<br />
recht gut und wird in den nächsten Jahren<br />
zunehmen. Gerade aus der Kombination<br />
von 2-D und 3-D ergeben sich<br />
zunehmend Anwendungsideen, die weit<br />
jenseits der Demo-Szene oder des Spielebereichs<br />
liegen. Die Autoren dieses Artikels<br />
arbeiten zum Beispiel an einem Viewer<br />
names CADo culus, der CAD-Daten<br />
im Webbrowser anzeigt [18]. (mhu) n<br />
Die Autoren<br />
Johannes Raida und Carsten Zerbst erstellen<br />
Individual-Software für die Automobil-, Luft- und<br />
Raumfahrtindustrie. Ihr besonderer Schwerpunkt<br />
ist Software für CAD, PDM und Datenaustausch.<br />
Three.js 09/2012<br />
Programmieren<br />
www.linux-magazin.de<br />
93<br />
Abo abschließen und gewinnen!<br />
Sparen Sie 15% beim Print- oder Digital-Abo<br />
und gewinnen Sie ein Motorola Motoluxe<br />
im Wert von circa 220 Euro!<br />
Die Verlosung erfolgt am 03.09.12<br />
um 12 Uhr unter allen Abonnenten<br />
(außer Miniabos)<br />
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer<br />
Jetzt bestellen unter:<br />
www.android–user.de/abo<br />
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de
Programmieren<br />
www.linux-magazin.de Perl-Snapshot 09/2012<br />
96<br />
Mit Heroku Webapplikationen starten<br />
Einfach abheben<br />
Wer in seiner Lieblingssprache eine Webapplikation zusammenklopfen und kostenlos veröffentlichen möchte,<br />
findet bei Heroku viel Komfort. Sogar ein eigener Webserver darf als Sprungbrett dienen. Michael Schilli<br />
© john krempl, photocase.com<br />
1 #!/usr/bin/env perl<br />
2 use Mojolicious::Lite;<br />
3<br />
4 get '/' => {<br />
In letzter Zeit hört man auf Konferenzen<br />
häufig das Wort „Polyglot“ [2]: Passé<br />
sind die Tage, in denen Entwickler sich<br />
mit Tunnelblick auf eine Programmiersprache<br />
und ihr Ökosystem konzentrierten<br />
und Errungenschaften anderer<br />
Systeme mit rotem Kopf für überflüssig<br />
erklärten. Vielmehr spioniert der Ingenieur<br />
von Welt heute in den Foren der Konkurrenz,<br />
erkennt fortschrittliche Entwicklungen<br />
und adaptiert sie zum Einsatz in<br />
der bevorzugten Sprache oder dem Applikationsstack<br />
der Wahl. Auch die Hoster<br />
von Webapplikationen unterstützen<br />
5 text => "I'll be your server tonight." };<br />
6<br />
7 app‐>start;<br />
Listing 1: »myapp.pl«<br />
diesen Trend und bieten ihre Dienste für<br />
unterschiedlichste Programmiersprachen<br />
und Runtime-Umgebungen an.<br />
Alles schon eingebaut<br />
So verfährt zum Beispiel der Applikationshoster<br />
Heroku.com. Er liegt eine Abstraktionsebene<br />
über Amazons AWS-Cloud,<br />
hat seine Plattform bewusst Sprachen-agnostisch<br />
aufgesetzt und unterstützt etwa<br />
ein Dutzend Programmiersprachen [3].<br />
Der Entwickler entlässt seine Releases<br />
mit Hilfe des Revisionssystems Git in die<br />
Freiheit und findet sich losgelöst von den<br />
technischen Anforderungen realer Server.<br />
Dies erlaubt schnelle Entwicklungszyklen<br />
mit erstaunlich wenig administrativem<br />
Aufwand.<br />
Listing 1 zeigt eine simple Webapplikation,<br />
die das Framework Mojolicious vom<br />
CPAN nutzt, das über einen eingebauten<br />
Webserver verfügt. Von der Kommando-<br />
zeile mit dem Befehl »daemon« und einer<br />
Webadresse auf dem lokalen Rechner gestartet<br />
(Abbildung 1) übergibt es einem<br />
Browser den fest einkodierten Textstring<br />
(Abbildung 2).<br />
Um das Ganze im Internet auf einem<br />
Heroku-Server laufen zu lassen, sind nur<br />
wenige Schritte notwendig. Als Erstes<br />
muss der User sich bei Heroku mit einer<br />
E-Mail-Adresse kostenlos registrieren.<br />
Weitere Angaben entfallen. Bestätigt der<br />
User den Eingang der E-Mail, darf er ein<br />
Passwort setzen.<br />
Das Kommandozeilentool „Heroku Toolbelt“,<br />
das sich unter Ubuntu <strong>Linux</strong> mit<br />
wget ‐qO‐ https://toolbelt.heroku.com/U<br />
install.sh | sh<br />
herunterladen und installieren lässt, findet<br />
nach dem Aufruf von »heroku login«<br />
wie in Abbildung 3 die lokal verwendeten<br />
Public Keys und überträgt einen<br />
davon nach Bestätigung an den Heroku-<br />
Server.<br />
Ab diesem Zeitpunkt kommuniziert der<br />
User mit dem Heroku-System, ohne das<br />
Passwort nochmals einzutippen. Weitere<br />
Public Keys für weitere Rechner zur Wartung<br />
bereits installierter Applikationen<br />
fügt er mit dem Werkzeuggürtel und dem<br />
Kommando »heroku keys:add« an.<br />
Reisegepäck<br />
Für eine Perl-Applikation benötigt Heroku<br />
die Dateien »Makefile.PL« sowie das<br />
Shellskript »Perloku«. Diese Dateien ins-<br />
Perl-Snapshot feiert Jubiläum!<br />
Der erste Artikel der Perl-Snapshot-Reihe im<br />
<strong>Linux</strong>-<strong>Magazin</strong> erschien im Oktober 1997, also<br />
schließt sie diesen Monat das 15. Jahr ab. Der<br />
Autor bedankt sich für alle Leserzuschriften<br />
und freut sich auf weitere Anregungen.
Abbildung 1: Im Beispiel startet der Programmierer die Mojolicious-Applikation<br />
auf Port 8888 des lokalen Rechners.<br />
Abbildung 2: Ergebnis im Browser: Das einfache Mojolicious-Skript erzeugt im<br />
Browser die gewünschte Ausgabe.<br />
Perl-Snapshot 09/2012<br />
Programmieren<br />
tallieren die nötigen CPAN-Module und<br />
werfen den eingebauten Mojolicious-Server<br />
an. Listing 2 zeigt das Makefile. Das<br />
Shellskript »Perloku« enthält folgendes<br />
Kommando:<br />
./myapp.pl daemon -l http://*:$PORT U<br />
-m production<br />
Zusammen mit dem vorher erwähnten<br />
Applikationsskript »myapp.pl« aus<br />
Listing 1 liegen beide in einem lokalen<br />
Verzeichnis, in dem der User jetzt ein<br />
Git-Repository mit »git init« anlegt. Die<br />
Befehlsfolgen »git add *« und »git commit«<br />
mit einem Commit-Kommentar zementieren<br />
die Version.<br />
Die Perl-typische Datei »Makefile.PL«<br />
gibt das CPAN-Modul Mojolicious in der<br />
Version 3.05 als Abhängigkeit an. Mojolicious<br />
hingegen benötigt keine weiteren<br />
CPAN-Module. Folgendes Kommando<br />
schickt das Triplet jetzt an Heroku:<br />
heroku create ‐s cedar ‐‐buildpack U<br />
http://github.com/judofyr/perloku.git<br />
Bei »buildpack« handelt es sich um einen<br />
auf Github abgelegten Adapter, der<br />
Heroku Perl-Applikationen mit Skripten<br />
schmackhaft macht. So sagt er Heroku,<br />
dass das Kommando zum Start der Applikation<br />
in »Perloku« zu finden ist. Im<br />
lokalen Git-Repository definiert das Kommando<br />
»heroku create« zudem eine im<br />
Git-Jargon so genannte Remote, die auf<br />
das Heroku-Repository zeigt. An dieses<br />
schickt der User den Code mit dem Kommando<br />
»git push heroku master«.<br />
So schickt Git zuerst die drei Source-Dateien<br />
an Heroku, das dann die in »Makefile.PL«<br />
angegebenen<br />
CPAN-Module installiert<br />
und zum Start des<br />
handgestrickten Servers<br />
das Kommando<br />
in der Datei »Perloku«<br />
aufruft. Heroku ruft<br />
das Shellskript »Perloku«<br />
per Konvention<br />
mit der Environment-<br />
Variablen »PORT« auf,<br />
die auf den Port gesetzt ist, auf dem der<br />
in »myapp.pl« eingebaute Webserver auf<br />
eingehende Requests lauschen soll. Das<br />
Shellskript fügt den Wert in den Parameter<br />
für die Option »‐l« ein und übergibt<br />
das Ganze an »myapp.pl«, das nun genau<br />
Bescheid weiß.<br />
Abschließend spuckt Heroku die offizielle<br />
Webadresse der Applikation aus, im<br />
Beispiel ist das »http://hollow‐fog‐8976.<br />
herokuapp.com«. Ein Browser, der diese<br />
Adresse aufruft, zeigt das erwartete Ergebnis<br />
(Abbildung 4).<br />
Grenzen testen<br />
In der kostenlosen Version laufen die<br />
hochgeladenen Standalone-Server zwar<br />
durchgängig und speichern Daten im<br />
RAM-Speicher des Perl-Prozesses. Doch<br />
für Addons verlangt Heroku, den Account<br />
zu verifizieren, was derzeit nur durch<br />
Angabe einer gültigen Kreditkarte möglich<br />
ist. Beispiele für Addons sind Datenbanken<br />
zur persistenten Speicherung<br />
oder No-SQL-Lösungen wie Redis zur<br />
Kommunikation zwischen verschiedenen<br />
Instanzen, die besser skalieren.<br />
Weiter ist zu beachten, dass Heroku die<br />
Prozesse nach einigen Stunden herunterfährt,<br />
falls die Requests ausbleiben. Trudeln<br />
neue Requests ein, starten die Prozesse<br />
wieder. Der Webkunde merkt das<br />
daran, dass die Webapplikation verzögert<br />
lädt, und der Entwickler daran, dass alle<br />
im flüchtigen Speicher gehaltenen Daten<br />
verloren sind.<br />
Statt Mojolicious kann jedes vom CPAN<br />
installierbare Framework herhalten, so<br />
Abbildung 3: Das Kommandozeilen-Tool »heroku« des so genannten Heroku<br />
Toolbelt loggt den User ein.<br />
auch der asynchrone Baukasten „Any-<br />
Event“ mit seinem Standalone-Webserver<br />
»AnyEvent::HTTPD«. Listing 3 zeigt die<br />
Perl-Applikation, die den Webserver auf<br />
dem mit »‐p« hereingegebenen Port startet,<br />
Requests von Webclients annimmt<br />
und mit dem gleichen, hart einkodierten<br />
Ausgabe-String beantwortet. Das leicht<br />
veränderte »Perloku« übergibt den von<br />
Heroku hereingereichten Port mit »‐p«:<br />
./myapp.pl -p $PORT<br />
Die in Zeile 4 angepasste Datei »Makefile.<br />
PL« aus Listing 2 fordert nun ein anderes<br />
CPAN-Modul zur Installation an:<br />
4 PREREQ_PM => {'AnyEvent::HTTPD' => '0.93'}<br />
Statt eines statischen Strings liefert eine<br />
nützliche Applikation freilich lieber dynamische<br />
Daten zurück. So schickt sich<br />
Listing 2: »Makefile.PL«<br />
1 #!/usr/bin/env perl<br />
2 use ExtUtils::MakeMaker;<br />
3 WriteMakefile(<br />
4 PREREQ_PM => {'Mojolicious' => '3.05'}<br />
5 );<br />
Listing 3: »myapp.pl«<br />
01 #!/usr/bin/env perl<br />
02 use AnyEvent::HTTPD;<br />
03 use Getopt::Std;<br />
04<br />
05 getopts "p:", \my %opts;<br />
06<br />
07 my $httpd = AnyEvent::HTTPD‐>new(<br />
08 port => $opts{ p } );<br />
09<br />
10 $httpd‐>reg_cb (<br />
11 '/' => sub {<br />
12 my ( $httpd, $req ) = @_;<br />
13<br />
14 $req‐>respond ( {<br />
15 content => [ 'text/html',<br />
16 "I'll be your server tonight." ]<br />
17 } );<br />
18 },<br />
19 );<br />
20<br />
21 my $cv = AnyEvent‐>condvar();<br />
22 $cv‐>recv();<br />
www.linux-magazin.de<br />
97
Programmieren<br />
www.linux-magazin.de Perl-Snapshot 09/2012<br />
98<br />
01 #!/usr/bin/env perl<br />
02 use Mojolicious::Lite;<br />
Abbildung 4: Das einfache Hello-Skript läuft nun im<br />
offenen Internet auf einem Heroku-Server.<br />
Listing 4 an, die IP des Users anzuzeigen.<br />
Im verwendeten Mojolicious-Framework<br />
gibt die Methode »remote_address()« die<br />
IP-Adresse des Besuchers an. Die Methode<br />
verwendet dazu das von »tx()« gelieferte<br />
Objekt, das die Transaktionsdaten<br />
des Webrequests bereithält.<br />
Der Trick mit der IP<br />
Abbildung 5 hält aber eine Überraschung<br />
bereit: Die dort angezeigte IP-Adresse liegt<br />
im Bereich 10.x.x.x und ist damit eine<br />
nicht routbare interne Heroku-Adresse.<br />
03<br />
04 get '/whatsmyip' => sub {<br />
05 my( $self ) = @_;<br />
06<br />
07 $self‐>render( text =><br />
08 "Your IP is " .<br />
09 $self‐>tx‐>remote_address() );<br />
10 };<br />
11<br />
12 app‐>start;<br />
01 #!/usr/bin/env perl<br />
02 use Plack::Runner;<br />
1 #!/usr/bin/env perl<br />
2 use ExtUtils::MakeMaker;<br />
3 WriteMakefile(<br />
4 PREREQ_PM => {<br />
5 'PLACK' => '0.9969' }<br />
6 );<br />
Listing 4: »myapp.pl« (I)<br />
03<br />
04 my $runner = Plack::Runner‐>new;<br />
05 $runner‐>parse_options( @ARGV );<br />
06 $runner‐>run( sub {<br />
07 my( $env ) = @_;<br />
08<br />
09 return [ 200,<br />
10 [ "Contenat‐type" => "text/html" ],<br />
11 [ "Hello from Plack"]<br />
12 ];<br />
13 } );<br />
Listing 5: »myapp.pl« (II)<br />
Listing 6: »Makefile.PL«<br />
Abbildung 5: Heroku zeigt statt der IP-Adresse des<br />
Besuchers eine interne IP-Adresse an.<br />
Sie offenbart, dass auf dieser Plattform<br />
magische Zwischenschichten agieren,<br />
bevor der Request bei der Applikation<br />
eintrifft. Die erweiterten Zeilen 07 bis 09<br />
von »myapp.pl« aus Listing 4 zaubern<br />
die eigentlich gewünschte IP-Adresse des<br />
Besuchers hervor:<br />
07 $self->render( text =><br />
08 "Your IP is " .<br />
09 $self->req->headers->header(<br />
10 "x-forwarded-for" ) );<br />
Denn wie sich nach einigem Experimentieren<br />
herausstellte, ist die Original-IP<br />
glücklicherweise noch im Header »x‐forwarded‐for«<br />
des eingehenden Requests<br />
verfügbar. Abbildung 6 zeigt das korrekte<br />
Ergebnis.<br />
Geliehenes Superduo:<br />
PSGI und Plack<br />
Jedes Mal, wenn eine Perl-Anwendung<br />
vom Entwicklungsserver auf einen Apache-Produktionsserver<br />
wandert, vergeudet<br />
das Zeit, weil »mod_perl« und »CGI.<br />
pm« Parameter unterschiedlich übergeben.<br />
Wer hat sich nicht schon gefragt, ob<br />
das sein muss? Muss es nicht. Die Schnittstelle<br />
PSGI und ihre Implementierung<br />
Plack [4] stammen aus dem Web-Ökosystem<br />
Rails um die Programmiersprache<br />
Ruby. Hier heißt das Interface WSGI und<br />
seine Implementierung Rack.<br />
WSGI definiert eine einheitliche CGI-artige<br />
Schnittstelle zwischen beliebigen<br />
Webservern und Webapplikationen. Plack<br />
produziert den nötigen Superklebstoff,<br />
um jede PSGI-kompatible Webanwendung<br />
– inklusive Webframeworks wie<br />
Catalyst oder Dancer – unmodifiziert auf<br />
einem beliebigen Webserver laufen zu<br />
lassen. Voraussetzung ist nur, dass es<br />
einen PSGI-Adapter gibt. Mit eigenem<br />
Server entwickelter und getesteter Code<br />
läuft dann sowohl auf Apache 1 als auch<br />
auf Apache 2.<br />
Listing 5 zeigt die fertig programmierte<br />
Applikation. Das zugehörige »Makefile.<br />
Abbildung 6: Über den Header »x‐forwarded‐for«<br />
berichtet Heroku nun die richtige IP-Adresse.<br />
PL« aus Listing 6 zieht lediglich das<br />
CPAN-Modul Plack herein und Heroku<br />
startet den Server nach einem »git push«<br />
ohne viel Federlesen. PSGI erfordert ein<br />
denkbar simples Interface: Alle eingehenden<br />
Parameter kommen als Referenz auf<br />
einen Hash herein und die Applikation<br />
liefert eine Referenz auf einen Array mit<br />
Statuscode, Headern und schließlich mit<br />
dem Inhalt (Body) der Antwort. Das stellt<br />
sicher, dass für jeden Webserver mit einfachsten<br />
Mitteln ein passender Adapter<br />
programmierbar ist.<br />
Das Modul Plack::Runner startet den in<br />
Plack enthaltenen Standalone-Webserver,<br />
sodass dieses Skript nach einem »git push«<br />
anstandslos auf Heroku.com läuft.<br />
Bereit zum Abheben<br />
Die Sprache Perl erlebt in letzter Zeit ein<br />
Comeback in der Hosterszene. Nicht nur<br />
Heroku unterstützt Perl, sondern auch<br />
die Firmen Dotcloud, Juju, Openshift,<br />
Stackato und andere. (ake) n<br />
Infos<br />
[1] Listings zu diesem Artikel:<br />
[ftp:// www. linux‐magazin. de/ pub/ listings/<br />
magazin/ 2012/ 09/ Perl]<br />
[2] Tatsuhiko Miyagawa, „Becoming a Polyglot“,<br />
YAPC::NA 2012:<br />
[http:// act. yapcna. org/ 2012/ talk/ 142]<br />
[3] Heroku als „Polyglott Platform“:<br />
[http:// blog. heroku. com/ archives/ 2011/ 8/ 3/<br />
polyglot_platform/]<br />
[4] Plack: [http:// search. cpan. org/ dist/ Plack]<br />
Der Autor<br />
Michael Schilli arbeitet<br />
als Software-Engineer bei<br />
Yahoo in Sunnyvale, Kalifornien.<br />
In seiner seit 1997<br />
laufenden Kolumne forscht<br />
er jeden Monat nach praktischen<br />
Anwendungen der Skriptsprache Perl.<br />
Unter [mschilli@perlmeister. com] beantwortet<br />
er gerne Fragen.
<strong>Linux</strong>-<strong>Magazin</strong><br />
ACADEMY<br />
LPIC-1<br />
All-in-One Solution<br />
✓<br />
Stellen Sie Ihr <strong>Linux</strong>-Wissen mit<br />
einer Zertifizierung unter Beweis!<br />
✓ Nutzen Sie die volle Flexibilität bei<br />
der Zeiteinteilung Ihrer Schulung!<br />
✓ Holen Sie sich alles, was Sie<br />
benötigen, in einem Paket!<br />
LPIC-1 Komplettpaket* nur € 1.490<br />
*Zertifizierung als „Junior Level <strong>Linux</strong> Professional“<br />
100% flexibel!<br />
Weitere Infos: academy.linux-magazin.de/solution
Service<br />
www.linux-magazin.de IT-Profimarkt 09/2012<br />
100<br />
PROFI<br />
MARKT<br />
Sie fragen sich, wo Sie maßgeschneiderte<br />
<strong>Linux</strong>-Systeme und kompetente<br />
Ansprechpartner zu Open-Source-Themen<br />
finden? Der IT-Profimarkt weist Ihnen<br />
als zuverlässiges Nachschlagewerk<br />
den Weg. Die hier gelisteten Unternehmen<br />
beschäftigen Experten auf ihrem<br />
Gebiet und bieten hochwertige Produkte<br />
und Leistungen.<br />
Die exakten Angebote jeder Firma entnehmen<br />
Sie deren Homepage. Der ersten<br />
Orientierung dienen die Kategorien<br />
Hardware, Software, Seminaranbieter,<br />
Systemhaus, Netzwerk/TK und Schulung/Beratung.<br />
Der IT-Profimarkt-Eintrag<br />
ist ein Service von <strong>Linux</strong>-<strong>Magazin</strong><br />
und <strong>Linux</strong>User.<br />
Online-Suche<br />
Besonders bequem finden Sie einen<br />
<strong>Linux</strong>-Anbieter in Ihrer Nähe über die<br />
neue Online-Umkreis-Suche unter:<br />
[http://www.it-profimarkt.de]<br />
Informationen<br />
fordern Sie bitte an bei:<br />
<strong>Linux</strong> New Media AG<br />
Anzeigenabteilung<br />
Putzbrunner Str. 71<br />
D-81739 München<br />
Tel.: +49 (0)89/99 34 11-23<br />
Fax: +49 (0)89/99 34 11-99<br />
E-Mail: anzeigen@linux-magazin.de<br />
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus<br />
IT-Profimarkt – Liste sortiert nach Postleitzahl<br />
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6<br />
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de ✓ ✓ ✓ ✓<br />
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de ✓ ✓ ✓ ✓ ✓<br />
Heinlein Professional <strong>Linux</strong> Support GmbH 10119 Berlin, Schwedter Straße 8/9b 030-405051-0 www.heinlein-support.de ✓ ✓ ✓ ✓ ✓<br />
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de ✓ ✓ ✓ ✓ ✓<br />
Hostserver GmbH 10405 Berlin, Winsstraße 70 030-47375550 www.hostserver.de ✓<br />
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de ✓ ✓ ✓ ✓ ✓<br />
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com ✓ ✓ ✓ ✓<br />
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de ✓ ✓ ✓<br />
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de ✓ ✓ ✓ ✓<br />
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de ✓ ✓ ✓ ✓ ✓<br />
iTechnology GmbH 20537 Hamburg, Normannenweg 28 0)40 20 22 62 10 www.itechnology.de ✓ ✓ ✓ ✓<br />
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de ✓<br />
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de ✓ ✓ ✓ ✓ ✓<br />
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de ✓ ✓ ✓ ✓ ✓<br />
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net ✓ ✓ ✓ ✓ ✓<br />
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net ✓ ✓ ✓ ✓ ✓ ✓<br />
Hostserver GmbH 35037 Marburg, Biegenstr. 20 06421-175175-0 www.hostserver.de ✓<br />
LINET Services GmbH 38122 Braunschweig, Am alten Bahnhof 4b 0531-180508-0 www.linet-services.de ✓ ✓ ✓ ✓ ✓ ✓<br />
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de ✓ ✓ ✓ ✓ ✓<br />
<strong>Linux</strong>-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de ✓ ✓ ✓ ✓ ✓<br />
<strong>Linux</strong>hotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de ✓<br />
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de ✓<br />
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de ✓ ✓ ✓ ✓<br />
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de ✓<br />
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de ✓ ✓ ✓ ✓<br />
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de ✓ ✓ ✓ ✓ ✓<br />
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de ✓ ✓ ✓ ✓ ✓<br />
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com ✓ ✓ ✓ ✓<br />
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de ✓ ✓ ✓ ✓ ✓<br />
<strong>Linux</strong>Haus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de ✓ ✓ ✓ ✓ ✓<br />
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um <strong>Linux</strong> bieten. Alle Angaben ohne Gewähr. <br />
(S.102)
Sie wünschen sich vielfältige und herausfordernde Aufgaben?<br />
Dann sind Sie bei STRATO genau richtig.<br />
Wir gestalten die Zukunft des Internets – innovativ & dynamisch.<br />
STRATO gehört zu der Deutschen Telekom AG und zählt zu den begehrtesten<br />
Arbeitgebern Deutschlands. Zur Verstärkung unseres Teams suchen<br />
wir für den Standort Berlin ab sofort eine/n<br />
Perl-Entwickler Server (m/w)<br />
Schwerpunkt: Automatisiertes Server- und Funktionsmanagement<br />
Bereich: Dedizierte / Virtuelle Server<br />
Ihr Verantwortungsbereich<br />
Konzeptionierung und Implementierung von neuen Produkten/<br />
Funktionen für unsere Server-Produktlinie<br />
Implementierung und Optimierung von datenbankgestützten Prozessen<br />
Evaluierung und Integration von Hard- und Software-Lösungen<br />
Ihre Persönlichkeit<br />
Sie beherrschen die Skriptsprache Perl<br />
Sie verfügen über fundiertes Wissen im Umgang mit SQL-Datenbanken<br />
XML und SOAP sind keine Fremdwörter für Sie<br />
Idealerweise haben Sie Kenntnisse in der Administration von<br />
<strong>Linux</strong>-Systemen<br />
Sie haben sichere Troubleshooting-Fähigkeiten und Freude an<br />
unkonventionellen Problemlösungen<br />
STRATO AG, Abteilung Personal, Pascalstraße 10, 10587 Berlin<br />
E-Mail: personal@strato.de<br />
strato.de /karriere/stellenangebote<br />
Nagios<br />
PIKETT<br />
Jabber<br />
Zürich<br />
lvm<br />
KVM<br />
MiMiMi<br />
DNS<br />
sudo<br />
Python<br />
Rsync<br />
Nginx<br />
Ruby<br />
Varnish<br />
nerd NERF<br />
IMAP Peering<br />
WSGI<br />
Apero<br />
APT<br />
Nginx<br />
Teamgeist<br />
xfs<br />
DRDB DarkFiber<br />
Cisco<br />
Apache<br />
Ubuntu<br />
Postgres<br />
Debian<br />
Töggelikasten opensource<br />
IPv6<br />
SMTP<br />
GBit IPtables<br />
Logile<br />
SSL<br />
VPN LXC VIM<br />
Tomcat<br />
SSH<br />
Heartbeat BGP<br />
noob<br />
Rails Bash GIT<br />
DPKG<br />
php LPIC<br />
Dedicated<br />
VServer<br />
puppet<br />
ext4<br />
CUBE<br />
Uetliberg<br />
Quagga<br />
SVN<br />
TR0812_DE_AZ_Stellenanzeige_Perl_102x148_v2 1 11.07.1<br />
<strong>Linux</strong> System Engineer gesucht!<br />
Wenn dies keine Fremdworte für dich sind, dann bewerbe<br />
dich jetzt bei nine.ch<br />
http://nine.ch/about/jobs
Service<br />
www.linux-magazin.de Markt 09/2012<br />
102<br />
IT-Profimarkt / Markt<br />
Manfred IT-Profimarkt Heubach EDV – Liste und Kommunikation sortiert nach Postleitzahl 73728 Esslingen, Hindenburgstr. (Fortsetzung 47 von S. 100) 0711-4904930 www.heubach-edv.de<br />
1 = Hardware 2 = Netzwerk/TK<br />
✓ ✓<br />
3<br />
✓<br />
= Systemhaus<br />
✓<br />
4= Seminaranbieter 5 = Software 6 = Beratung<br />
Firma Anschrift Telefon Web 1 2 3 4 5 6<br />
Waldmann EDV Systeme + Service 74321 Bietigheim-Bissingen, Pleidelsheimer Str. 25 07142-21516 www.waldmann-edv.de ✓ ✓ ✓ ✓ ✓<br />
in-put Das <strong>Linux</strong>-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de ✓ ✓ ✓ ✓ ✓ ✓<br />
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de ✓ ✓ ✓<br />
<strong>Linux</strong> Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com ✓ ✓ ✓ ✓ ✓<br />
<strong>Linux</strong>Land International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de ✓ ✓ ✓ ✓ ✓ ✓<br />
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de ✓ ✓ ✓ ✓ ✓<br />
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de ✓ ✓ ✓ ✓ ✓<br />
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de ✓ ✓ ✓ ✓ ✓ ✓<br />
OSTC Open Source Training and Consulting GmbH 90425 Nürnberg, Waldemar-Klink-Str. 10 0911-3474544 www.ostc.de ✓ ✓ ✓ ✓ ✓ ✓<br />
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de ✓ ✓ ✓<br />
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net ✓ ✓ ✓ ✓ ✓<br />
fidu.de IT KG 95448 Bayreuth, Ritter-v.-Eitzenb.-Str. 19 09208-657638 www.linux-onlineshop.de ✓ ✓ ✓ ✓<br />
Computersysteme Gmeiner 95643 Tirschenreuth, Fischerhüttenweg 4 09631-7000-0 www.gmeiner.de ✓ ✓ ✓ ✓ ✓<br />
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch ✓ ✓ ✓<br />
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch ✓ ✓ ✓<br />
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch ✓ ✓ ✓ ✓ ✓<br />
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 +39 0471 56 41 11 www.wuerth-phoenix.com ✓ ✓ ✓ ✓<br />
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um <strong>Linux</strong> bieten. Alle Angaben ohne Gewähr. <br />
n<br />
Einfach auf LinuX umstEigEn!<br />
DigiSub-Mini * : 2 digitale Ausgaben Easy<strong>Linux</strong>!<br />
5€<br />
FÜR 2 AUSGABEN<br />
ihRE VoRtEiLE<br />
❱ EasyLinuX ist idEaL<br />
füR WindoWs-umstEigER<br />
❱ mit schRitt-füR-schRittanLEitungEn<br />
Zum ERfoLg<br />
❱<br />
❱<br />
2X tEstEn ohnE Risiko,<br />
das digisuB-mini ist<br />
JEdERZEit kündBaR!<br />
nutZBaR auf notEBook und Pc,<br />
taBLEt odER smaRtPhonE!<br />
JEtZt gLEich BEstELLEn!<br />
n tel.: 07131 / 2707 274 n fax: 07131 / 2707 78 601 n uRL: www.easylinux.de/abo n E-mail: abo@easylinux.de<br />
*geht ohne Kündigung in ein digitales Jahresabo mit 4 Ausgaben pro Jahr über und ist jederzeit kündbar!
OpenSource Training Ralf Spenneberg<br />
Schulungen direkt vom Autor<br />
<strong>Linux</strong> Firewall Lösungen<br />
5 Tage 03.09. 07.09.2012<br />
DHCP, DNS und DNSSEC<br />
3 Tage 18.09. 20.09.2012<br />
Advanced Monitoring<br />
4 Tage 17.09. 20.09.2012<br />
LPIC3<br />
5 Tage 08.10. 12.10.2012<br />
Virtualisierung mit KVM<br />
3 Tage 09.10. 11.10.2012<br />
Hacking Webapplications<br />
4 Tage 16.10. 19.10.2012<br />
SE<strong>Linux</strong> Administration<br />
2 Tage 06.11. 07.11.2012<br />
<strong>Linux</strong> System Administration / LPIC1<br />
5 Tage 12.11. 16.11.2012<br />
IPv6 mit <strong>Linux</strong><br />
3 Tage 13.11. 15.11.2012<br />
Freie Distributionswahl:<br />
Opensuse, Fedora, Debian Squeeze,<br />
CentOS oder Ubuntu LTS<br />
Ergonomische Arbeitsplätze<br />
Umfangreiche Schulungsunterlagen mit<br />
Übungen<br />
Embedded <strong>Linux</strong><br />
Beratung - Schulung - Entwicklung<br />
#1<br />
#2<br />
#3<br />
#4<br />
Am Bahnhof 35<br />
48565 Steinfurt<br />
Tel.: 02552 638755<br />
Fax: 02552 638757<br />
Weitere Informationen unter www.ost.de<br />
Mainline <strong>Linux</strong><br />
MX 53 / MX6<br />
www.pengutronix.de<br />
+49 (5121) 20 69 17 - 0<br />
Single Core<br />
Dual Core<br />
Quad Core<br />
<strong>Linux</strong> Portierung - Web - AJAX - Qt - Echtzeit<br />
X25<br />
… alles nur eine Frage der Lastverteilung !<br />
<strong>Linux</strong>-<strong>Magazin</strong><br />
ACADEMY<br />
BalanceNG ®<br />
Online-Training<br />
Prüfungsvorbereitung<br />
für LPIC 1 & 2<br />
Besorgen Sie sich Brief und<br />
Siegel für Ihr <strong>Linux</strong>-<br />
Knowhow mit der<br />
LPI-Zertifizierung.<br />
- Training für die Prüfungen<br />
LPI 101 und 102<br />
- Training für die Prüfungen<br />
LPI 201 und 202<br />
Sparen Sie mit<br />
paketpreiSen!<br />
20%<br />
Treue-Rabatt für<br />
Abonnenten<br />
Informationen und Anmeldung unter:<br />
academy.linux-magazin.de/lpic<br />
●<br />
Der Software Load-Balancer für <strong>Linux</strong> und Solaris<br />
●<br />
Voll virtualisierbar<br />
●<br />
Keine zusätzliche Hardware erforderlich<br />
●<br />
Security made in Germany:<br />
Garantiert frei von versteckten “Backdoors”<br />
Alle Informationen unter: www.BalanceNG.net<br />
Inlab Software GmbH<br />
Josef-Würth-Str. 3<br />
82031 Grünwald<br />
Tel: 089 / 64911420<br />
http://www.inlab.de<br />
LM-Academy_1-9h_Anzeige_LPIC-Mike_v2.indd 1<br />
22.02.2012 17:12:54 Uhr
Service<br />
www.linux-magazin.de Inserenten 09/2012<br />
104<br />
Inserentenverzeichnis<br />
1&1 Internet AG http://www.einsundeins.de 11<br />
ADMIN http://www.admin-magazin.de 87<br />
Android User GY http://www.android-user.de 39, 93<br />
Campuy-Party http://www.campus-party.eu 61<br />
Easy<strong>Linux</strong> http://www.easylinux.de 102<br />
embedded projects GmbH http://www.embedded-projects.net 101<br />
Fernschule Weber GmbH http://www.fernschule-weber.de 103<br />
FrOSCon e.V. http://www.froscon.de 53<br />
Galileo Press http://www.galileo-press.de 15<br />
German Unix User Group (GUUG) e.V. http://www.guug.de/ 89<br />
HACKATTACK IT SECURITY GmbH http://www.hackattack.com 67<br />
Hetzner Online AG http://www.hetzner.de 108<br />
<strong>Linux</strong>-Hotel http://www.linuxhotel.de 19<br />
<strong>Linux</strong>-<strong>Magazin</strong> http://www.linux-magazin.de 31, 69<br />
<strong>Linux</strong>-<strong>Magazin</strong> Academy http://academy.linux-magazin.de 99, 103<br />
<strong>Linux</strong>-Onlineshop/Fidu http://www.linux-onlineshop.de 107<br />
<strong>Linux</strong>User http://www.linux-user.de 37<br />
Mittwald CM Service GmbH & Co. KG http://www.mittwald.de 17<br />
Netways GmbH http://www.netways.de 25<br />
Nine Internet Solutions AG http://www.nine.ch 101<br />
O’Reilly Verlag GmbH & Co KG http://www.oreilly.de 9<br />
Open Source Press GmbH http://www.opensourcepress.de 79<br />
Pengutronix e.K. http://www.pengutronix.de 103<br />
Hostserver GmbH http://www.hostserver.de 41<br />
Ico Innovative Computer GmbH http://www.ico.de 23<br />
Inlab Software GmbH http://www.inlab.de 103<br />
ISC Events http://www.isc-events.com/ 85<br />
Kamp Netzwerkdienste GmbH http://www.kamp.net 35<br />
PlusServer AG http://www.plusserver.de 62, 74, 80, 94<br />
Spenneberg Training & Consulting http://www.spenneberg.com 103<br />
Strato AG http://www.strato.de 1, 2, 101<br />
Einem Teil dieser Ausgabe liegt eine Beilage der Firma Strato AG (http://www.<br />
strato.de) bei. Wir bitten unsere Leser um freundliche Beachtung.<br />
Veranstaltungen<br />
08.-10.08.2012<br />
USENIX Security ’12<br />
Bellevue, WA<br />
http://www.usenix.org/events/sec12/<br />
20.-22.08.2012<br />
YAPC Europe 2012<br />
Universität Frankfurt/Main<br />
http://act.yapc.eu/ye2012/<br />
25.-26.08.2012<br />
FrosCon 2012<br />
Hochschule Bonn-Rhein-Sieg, Sankt Augustin<br />
http://www.froscon.de<br />
19.-21.09.2012<br />
XDC2012<br />
Suse <strong>Linux</strong> Products GmbH<br />
Nürnberg<br />
http://wiki.x.org/wiki/Events/XDC2012/<br />
21.-23.09.2012<br />
Open Source Hardware Convention 2012<br />
Madrid, Spain<br />
http://www.oshwcon.org<br />
02.-03.10.2012<br />
Apps World<br />
London, UK<br />
http://www.apps-world.net/europe/<br />
18.-19.10.2012<br />
Libre Software World Conference 2012<br />
Santiago de Compostela, Spain<br />
http://www.libresoftwareworldconference.com<br />
20.-23.10.2012<br />
OpenSuse Conference 2012<br />
Prag, Tschechien<br />
http://en.opensuse.org/Portal:Conference<br />
23.-25.10.2012<br />
Strata Conference 2012<br />
New York, USA<br />
http://strataconf.com/stratany2012/public/<br />
content/home<br />
29.-31.08.2012<br />
<strong>Linux</strong>Con North America<br />
San Diego, CA, USA<br />
https://events.linuxfoundation.org/events/linuxcon<br />
08.-09.09.2012<br />
Barcelona Ruby Conference<br />
Barcelona, Spain<br />
http://baruco.org<br />
08.-10.10.2012<br />
OSDI ’12<br />
Hollywood, CA, USA<br />
http://www.usenix.org/events/osdi12/<br />
10.-11.10.2012<br />
Webit Congress<br />
Istanbul, Turkey<br />
http://www.webitexpo.com/en/webit/2012/index.html<br />
03.11.2012<br />
9. Brandenburger <strong>Linux</strong>-Infotag 2012<br />
Universität Potsdam<br />
http://blit.org<br />
07.-09.11.2012<br />
<strong>Linux</strong>con Europe<br />
Barcelona, Spain<br />
https://events.linuxfoundation.org/events/<br />
linuxcon-europe<br />
19.09.2012<br />
2012 High Performance Computing for Wall Street<br />
New York, USA<br />
http://www.flaggmgmt.com/hpc/<br />
17.-19.10.2012<br />
LibreOffice Conference 2012<br />
Berlin<br />
http://conference.libreoffice.org<br />
09.-14.12.2012<br />
LISA ’12<br />
San Diego, CA, USA<br />
http://www.usenix.org/events/lisa12/
Impressum<br />
<strong>Linux</strong>-<strong>Magazin</strong> eine Publikation der <strong>Linux</strong> New Media AG<br />
Redaktionsanschrift Putzbrunner Str. 71<br />
81739 München<br />
Tel.: 089/993411-0<br />
Fax: 089/993411-99 oder -96<br />
Internet<br />
www.linux-magazin.de<br />
E-Mail<br />
redaktion@linux-magazin.de<br />
Geschäftsleitung<br />
Chefredakteure<br />
stv. Chefredakteure<br />
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de<br />
Hermann Plank (Vorstand), hplank@linuxnewmedia.de<br />
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)<br />
Markus Feilner, mfeilner@linux-magazin.de (mfe)<br />
Mathias Huber, mhuber@linux-magazin.de (mhu)<br />
Print- und Onlineredaktion<br />
Aktuell, Forum Mathias Huber, mhuber@linux-magazin.de (mhu)<br />
Software, Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)<br />
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)<br />
Ständige Mitarbeiter Fred Andresen (fan), Zack Brown, Mela Eckenfels, Peter<br />
Kreußel, Tim Schürmann, Heike Jurzik (hej), Anika Kehrer<br />
(ake), Charly Kühnast, Martin Loschwitz, Michael Schilli,<br />
Mark Vogelsberger, Uwe Vollbracht, Arnold Zimprich (azi)<br />
Schlussredaktion<br />
Grafik<br />
Bildnachweis<br />
DELUG-DVD<br />
Chefredaktionen<br />
International<br />
Produktion<br />
Onlineshop<br />
Abo-Infoseite<br />
Abonnenten-Service<br />
ISSN 1432 – 640 X<br />
Jürgen Manthey<br />
Judith Erb (Art Director), Mike Gajer,<br />
xhoch4, München (Titel-Illustration)<br />
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere<br />
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)<br />
<strong>Linux</strong> <strong>Magazin</strong>e International<br />
Joe Casad (jcasad@linux-magazine.com)<br />
<strong>Linux</strong> <strong>Magazin</strong>e Poland<br />
Artur Skura (askura@linux-magazine.pl)<br />
<strong>Linux</strong> <strong>Magazin</strong>e Spain<br />
Paul C. Brown (pbrown@linux-magazine.es)<br />
<strong>Linux</strong> <strong>Magazin</strong>e Brasil<br />
Rafael Peregrino (rperegrino@linuxmagazine.com.br)<br />
Christian Ullrich, cullrich@linuxnewmedia.de<br />
shop.linuxnewmedia.de<br />
www.linux-magazin.de/Produkte<br />
Lea-Maria-Schmitt<br />
abo@linux-magazin.de<br />
Tel.: 07131/27 07 274<br />
Fax: 07131/27 07 78 601<br />
CH-Tel: +41 43 816 16 27<br />
Preise Print Deutschland Österreich Schweiz Ausland EU<br />
No-Media-Ausgabe 4 5,95 4 6,70 Sfr 11,90 (siehe Titel)<br />
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)<br />
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95<br />
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70<br />
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—<br />
Jahresabo No Media 4 63,20 4 71,50 Sfr 99,96 4 75,40<br />
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90<br />
Preise Digital Deutschland Österreich Schweiz Ausland EU<br />
Heft-PDF Einzelausgabe 4 5,95 4 5,95 Sfr 7,70 4 5,95<br />
DigiSub (12 Ausgaben) 4 63,20 4 63,20 Sfr 78,50 4 63,20<br />
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—<br />
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—<br />
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU<br />
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90<br />
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70<br />
1<br />
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital<br />
2<br />
mit <strong>Linux</strong>User-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.<br />
DELUG-DVD)<br />
3<br />
mit ADMIN-Abo und beiden Jahres-DVDs<br />
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises<br />
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei<br />
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.<br />
auf Anfrage.<br />
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht<br />
für Zeitschriften gelten.<br />
Pressemitteilungen<br />
Marketing und Vertrieb<br />
Mediaberatung D, A, CH<br />
presse-info@linux-magazin.de<br />
Petra Jaser, anzeigen@linuxnewmedia.de<br />
Tel.: +49 (0)89 / 99 34 11 – 24<br />
Fax: +49 (0)89 / 99 34 11 – 99<br />
Mediaberatung USA Ann Jesse, ajesse@linuxnewmedia.com<br />
und weitere Länder Tel.: +1 785 841 8834<br />
Eric Henry, ehenry@linuxnewmedia.com<br />
Tel.:+1 785 917 0990<br />
Pressevertrieb<br />
Druck<br />
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG<br />
Ohmstraße 1, 85716 Unterschleißheim<br />
Tel.: 089/31906-0, Fax: 089/31906-113<br />
Vogel Druck und Medienservice GmbH, 97204 Höchberg<br />
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen<br />
Betriebssysteme verschiedener Hersteller benutzt. <strong>Linux</strong> ist eingetragenes<br />
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner<br />
Erlaubnis verwendet.<br />
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung<br />
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von<br />
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt<br />
eingesandte Manuskripte kann keine Haftung übernommen werden.<br />
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es<br />
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in<br />
irgendeiner Form vervielfältigt oder verbreitet werden.<br />
Copyright © 1994 – 2012 <strong>Linux</strong> New Media AG<br />
Impressum 09/2012<br />
Service<br />
www.linux-magazin.de<br />
105<br />
Krypto-Info<br />
GnuPG-Schlüssel der <strong>Linux</strong>-<strong>Magazin</strong>-Redaktion:<br />
pub 1024D/44F0F2B3 2000-05-08 Redaktion <strong>Linux</strong>-<strong>Magazin</strong><br />
<br />
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3<br />
Public-Key der DFN-PCA:<br />
pub 2048R/7282B245 2007-12-12,<br />
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)<br />
<br />
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A<br />
PGP-Zertifikat der DFN-User-CA:<br />
pub 2048R/6362BE8B (2007-12-12),<br />
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)<br />
<br />
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06<br />
Root-Zertifikat der CAcert:<br />
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/<br />
Email=support@cacert.org<br />
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33<br />
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B<br />
GPG-Schlüssel der CAcert:<br />
pub 1024D/65D0FD58 2003-07-11 [expires: 2033-07-03]<br />
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58<br />
uid CA Cert Signing Authority (Root CA) <br />
Autoren dieser Ausgabe<br />
Fred Andresen Auf zum Flohmarkt 70<br />
Bernhard Bablok Eingefädelt 82<br />
Zack Brown Zacks Kernel-News 18<br />
Carola Heine Früh erfolgreich 46<br />
Eva-Katharina Kunst Kern-Technik 76<br />
Martin Kuppinger Einlass nach Maßgabe 28<br />
Charly Kühnast Land in Sicht 55<br />
Martin Loschwitz Ubuntu bedienbar 56<br />
Jürgen Quade Kern-Technik 76<br />
Johannes Raida Ausblick in 3-D 88<br />
Mark Schier Was gehört wohin? 64<br />
Michael Schilli Einfach abheben 96<br />
Ralf Spenneberg <strong>Mitbringsel</strong> 24<br />
Uwe Vollbracht Tooltipps 44<br />
Carsten Zerbst Ausblick in 3-D 88
Service<br />
www.linux-magazin.de <strong>Vorschau</strong> 10/2012 1/2011 09/2012 12/2010<br />
106<br />
<strong>Vorschau</strong><br />
10/2012 Dachzeile<br />
Nicht-linear präsentieren<br />
© Micha Rosenwirth, 123RF<br />
Sicherheit ist kein Kinderspiel<br />
Umfassende Unkenntnis und falsche Prioritäten stellen die<br />
Haupt ursache für die vielen Sicherheitslücken dar, durch die<br />
jeden Tag Programme ins Gerede kommen. Dass Sicherheit zu<br />
priorisieren wichtig ist, wird das <strong>Linux</strong>-<strong>Magazin</strong> nie müde zu<br />
betonen. Der nächste Schwerpunkt belässt es jedoch nicht bei<br />
Appellen, sondern zeigt anhand ganz praktischer Beispiele,<br />
wie jedermann Lücken finden, dokumentieren und auch verhindern<br />
kann. Beispielsweise ermittelt ein Artikel einen ausnutzbaren<br />
Firmwarefehler in einem Router. Ein anderer deckt<br />
Android-Schwächen auf, ein dritter demonstriert, wie der<br />
Admin Pentests in IPv6-Netzwerken durchführt. Die Ära der<br />
Unkenntnis möge sich dem Ende neigen.<br />
MAGAZIN<br />
Überschrift<br />
Bei den gängigen seriellen Präsentation lässt sich der Überdruss<br />
der Zuschauer förmlich mit Händen greifen. Die nächste Ausgabe<br />
rückt eine kleine Gruppe Tools ins Licht, mit denen der<br />
User seine Inhalte auf einer Fläche anordnet und durch einen<br />
Pfad verbindet, der den Ablauf seiner Präsentation bestimmt.<br />
Spice verschickt Bildschirme<br />
Red Hat hat zwar das Simple Protocol for Independent Computing<br />
Environments nicht erfunden, dafür aber dessen Erfinderfirma<br />
Qumranet gekauft und dem Remote-Display-Protokoll<br />
zur Freude der Thin-Client-Hersteller eine freie Lizenz verpasst.<br />
Das nächste <strong>Magazin</strong> beobachtet die Software bei der Arbeit.<br />
Das Neugeborene heißt Rust<br />
Von der Öffentlichkeit weitgehend unbeachtet feilt die Mozilla<br />
Foundation an einer eigenen Programmiersprache namens Rust.<br />
Optisch C recht ähnlich nimmt sie munter Anleihen bei anderen<br />
Sprachen und allerlei Paradigmen. Rust soll vor allem das Schreiben<br />
von größeren nebenläufigen Anwendungen erleichtern.<br />
Die Ausgabe 10/2012<br />
erscheint am 6. September 2012<br />
Ausgabe 09/2012<br />
erscheint am 16.08.2012<br />
© Frko, sxc.hu<br />
Privacy und Security<br />
Die Gefahren, die einem Rechner drohen,<br />
gehen von vielen Quellen aus: Angriffe<br />
über das Netzwerk, infizierte Dateien,<br />
schwache Passwörter. Eine einzige Lücke<br />
im Sicherheitssystem ermöglicht einem<br />
Angreifer oft bereits weitreichenden Zugriff<br />
auf wertvolle Daten. In der kommenden<br />
Ausgabe helfen wir Ihnen, Ihr System<br />
so abzusichern, dass es Angriffen von außen und innen standhält<br />
und selbst bei einem erfolgreichen Angriff dem Eindringling keine<br />
wichtigen Dateien und Informationen in die Hände fallen.<br />
Dateisysteme wandeln<br />
Ein Dateisystem mit vielen Dateien zu konvertieren, wächst sich zu<br />
einer schwierigen Aufgaben aus. Mit dem Tool Fstransform wandeln<br />
Sie die gewünschte Partition um, ohne die daraufliegenden<br />
Daten davon wegzubewegen. Wir zeigen, was es beim Einsatz des<br />
Werkzeugs zu beachten gilt.<br />
Barcodes im Einsatz<br />
Die kleinen schwarz-weißen Balken sind heute nicht mehr aus dem<br />
Leben wegzudenken: Sie prangen auf Postsendungen, Buchrücken<br />
oder elektronischen Geräten. Was im weltweiten Logistiknetz für<br />
Ordnung sorgt, hilft in vielen Fällen ebenfalls im privaten Bereich,<br />
Gegenstände zu ordnen und zu erfassen. Unser Workshop zeigt, wie<br />
Sie Barcodes für Ihre Zwecke optimal nutzen.<br />
Lenovo Thinkpad W530<br />
Beim letzten Mal machte uns der Hersteller einen Strich<br />
durch die Rechnung – jetzt ist das Notebook-Spitzenmodell<br />
von Lenovo endlich auf dem<br />
Weg in unser Hardware-Labor. Der Thinkpad<br />
W530 beeindruckt: Ein Intel Core i7-<br />
3720QM mit 2,6 GHz treibt den 15-Zöller<br />
an, 4 GByte DDR3-SDRAM sollten ein<br />
stressfreies Arbeiten erlauben. Wie sich<br />
die Hardware schlägt, zeigt ein Test<br />
in der nächsten Ausgabe.
Hetzner Online unterstützt mit der<br />
Verwendung von 100% regenerativem<br />
Strom aktiv den Umweltschutz.<br />
Entscheiden Sie sich gemeinsam<br />
mit uns für eine saubere Zukunft.